Trojan i dropper Swarez dystrybuowane pod przebraniem 15 Popularne gry
W kwietniu tego roku, Eksperci z Kaspersky Lab nagrany szeroko zakrojoną kampanię mającą na celu dystrybucję trojana i droppera o nazwie Swarez.
Złośliwe oprogramowanie było dystrybuowane pod przykrywką 15 popularne gry, i próby pobrania takich plików były rejestrowane przez produkty firmy w 45 Kraje Świata.
Dropper został wprowadzony za pośrednictwem różnych stron imitujących platformy do nielegalnej dystrybucji bezpłatnego oprogramowania. Wiele takich witryn rozpowszechnia złośliwe oprogramowanie pod pozorem kluczy do programów, w tym oprogramowanie antywirusowe, edytory zdjęć i wideo, a także popularne gry.
Przykład strony witryny ze zhakowanym oprogramowaniem do dystrybucji Swarez.
Napastnicy wykorzystali następujące gry jako przynętę: Wśród nas, Pole bitwy 4, Pole bitwy V, Kontrola, Counter Strike globalna ofensywa, FIFA 21, Fortnite, Grand Theft Auto V, Minecraft, NBA2K21, Need for Speed Heat, POLA BITW PLAYERUNKNOWN, Rdza, Simsy 4, Upadek Tytana 2. Do każdego postu użyto wielu tagów, aby strony docelowe pojawiały się u góry wyników wyszukiwania.
Dropper był dystrybuowany w archiwum ZIP, który zawierał inny chroniony hasłem plik ZIP oraz plik tekstowy zawierający to hasło. Uruchomienie szkodliwego oprogramowania spowodowało odszyfrowanie i aktywację pliku Byk kradnący trojan.
A zatem, w pierwszym etapie infekcji, dropper Swarez wykonuje zaciemniony skrypt CMD, który odszyfrowuje legalny interpreter AutoIt. Użyj tego, złośliwe oprogramowanie wykonuje skrypt AutoIt, co też jest zagmatwane. Przeprowadza się kilka kontroli, aby upewnić się, że plik nie jest wykonywany w emulowanym środowisku, a następnie ładunek jest odszyfrowywany przy użyciu algorytmu RC4. Powstały plik jest osadzony w jednym z procesów systemowych i wykonywany w jego kontekście. To jest Byk, płatny trojan kradnący, opracowany przez firmę Drapieżnik grupa hakerów, z wieloma funkcjami i opcjami dostosowywania. Może kraść pliki cookie, zapisane hasła i autouzupełnianie danych z przeglądarek, sekrety dostępu do portfeli kryptowalut, zbierać informacje o systemie, pliki tekstowe z pulpitu użytkownika, a nawet robić zrzuty ekranu. Trojan wysyła wszystkie te informacje do C&serwer C.
Przypomnę, że niedawno też to pisałem TrickBot otrzymał nowy moduł do monitorowania ofiar.