Ένας κλέφτης πληροφοριών που βασίζεται σε Python, γνωστός ως BlankGrabber, πιάστηκε να χρησιμοποιεί ένα παραπλανητικό τέχνασμα φόρτωσης πιστοποιητικών για να κρύψει μια αλυσίδα παράδοσης κακόβουλου λογισμικού πολλαπλών σταδίων.
Αυτή η απειλή, που εντοπίστηκε για πρώτη φορά το 2023, έγινε πιο περίπλοκη με την πάροδο του χρόνου και συνεχίζει να στοχεύει καθημερινούς χρήστες μέσω ευρέως χρησιμοποιούμενων διαδικτυακών πλατφορμών.
Το BlankGrabber έχει σχεδιαστεί για να κλέβει όσο το δυνατόν περισσότερα ευαίσθητα δεδομένα πριν εντοπιστεί. Στοχεύει διαπιστευτήρια προγράμματος περιήγησης, διακριτικά συνεδρίας, αποθηκευμένους κωδικούς πρόσβασης, περιεχόμενα προχείρου, κωδικούς πρόσβασης Wi-Fi, δεδομένα πορτοφολιού κρυπτονομισμάτων, στιγμιότυπα οθόνης και στιγμιότυπα κάμερας web.
Ο αρθρωτός σχεδιασμός του επιτρέπει στους παράγοντες απειλών να προσαρμόσουν τις επιθέσεις τους, ενώ ο γρήγορος κύκλος ανάπτυξής του το βοήθησε να ξεφύγει από πολλά συμβατικά εργαλεία ασφαλείας.
Οι αναλυτές του Splunk εντόπισαν έναν φορτωτή BlankGrabber δείγμα που φιλοξενείται στο Gofile[.]io πλατφόρμα κοινής χρήσης αρχείων, όπου μια πιο προσεκτική ματιά αποκάλυψε ότι αυτό που φαινόταν ως ένα κανονικό σενάριο εγκατάστασης πιστοποιητικού ήταν στην πραγματικότητα ένας συγκεκαλυμμένος μηχανισμός μόλυνσης πολλαπλών επιπέδων.
Ο φορτωτής χρησιμοποίησε το certutil.exe, ένα νόμιμο ενσωματωμένο βοηθητικό πρόγραμμα των Windows, για να αποκωδικοποιήσει αυτά που έμοιαζαν με δεδομένα πιστοποιητικού.
Στην πραγματικότητα, το κωδικοποιημένο περιεχόμενο περιείχε ένα μεταγλωττισμένο σταδιακό σύστημα βασισμένο σε Rust, κατασκευασμένο για την αποκρυπτογράφηση και την εκκίνηση του τελικού κακόβουλου ωφέλιμου φορτίου.
Το κακόβουλο λογισμικό εξαπλώνεται κυρίως μέσω κοινωνικής μηχανικής και phishing. Οι εισβολείς το σπρώχνουν μέσω ψεύτικων «σπασμένων» λήψεων λογισμικού, κακόβουλων αρχείων που μοιράζονται στο Discord και δόλιων αποθετηρίων GitHub που μοιάζουν με πραγματικά βοηθητικά προγράμματα.
Μόλις ένας χρήστης τρέξει το αρχείο, η αλυσίδα μόλυνσης ξεκινά αθόρυβα στο παρασκήνιο, δουλεύοντας μέσα από πολλά επίπεδα συσκότισης για να παραμείνει κρυφή από τα εργαλεία ασφαλείας.
Η ζημιά από μια επιτυχημένη μόλυνση BlankGrabber μπορεί να είναι σημαντική. Τα θύματα κινδυνεύουν να χάσουν την πρόσβαση σε λογαριασμούς προγράμματος περιήγησης, οικονομικές πλατφόρμες και προσωπικά αρχεία. Ο Το κακόβουλο λογισμικό ρίχνει επίσης το XWorm μαζί του, δίνοντας στους εισβολείς δυνατότητα κλοπής δεδομένων και επίμονο απομακρυσμένο έλεγχο του παραβιασμένου μηχανήματος.
Παραπλανητικός μηχανισμός μόλυνσης και αποφυγή ανίχνευσης
Η μόλυνση ξεκινά με ένα πρόγραμμα φόρτωσης δέσμης αρχείων που χρησιμοποιεί το certutil.exe για να αποκωδικοποιήσει ό,τι φαίνεται να είναι δεδομένα πιστοποιητικού.
.webp.jpeg)
Αυτό το κωδικοποιημένο περιεχόμενο είναι στην πραγματικότητα ένα μεταγλωττισμένο Rust stager. Μετά την εκτέλεση, ο σταδιοποιητής εκτελεί μια σειρά ελέγχων περιβάλλοντος, συγκρίνοντας τα προγράμματα οδήγησης, τα ονόματα χρήστη και τα ονόματα των υπολογιστών του συστήματος με μια κωδικοποιημένη λίστα αναγνωριστικών sandbox όπως “Triage”, “Zenbox” και “Sandbox”. Εάν εντοπιστεί κάποιο από αυτά, το κακόβουλο λογισμικό εξέρχεται για να αποφευχθεί ο εντοπισμός.
.webp.jpeg)
Όταν ο σταδιοποιητής επιβεβαιώσει ότι το σύστημα είναι πραγματικό, ρίχνει ένα αρχείο RAR που εξάγεται αυτόματα στο φάκελο %TEMP%.
.webp.jpeg)
Αυτό το αρχείο παρέχει δύο κακόβουλα αρχεία — το πρόγραμμα-πελάτη απομακρυσμένης πρόσβασης XWorm (host.exe) και το πρόγραμμα κλοπής BlankGrabber (Knock.exe).
Για να γίνει ανάμειξη, το απορριπτόμενο αρχείο λαμβάνει ένα τυχαίο όνομα που μοιάζει με μια νόμιμη διαδικασία των Windows, όπως το OneDriveUpdateHelper.exe ή το SteamService.exe.
Το ωφέλιμο φορτίο BlankGrabber συσκευάζεται χρησιμοποιώντας το PyInstaller, μετατρέποντας το αρχικό σενάριο Python σε αυτόνομο εκτελέσιμο αρχείο. Μέσα στο πακέτο υπάρχει ένα κρυπτογραφημένο αρχείο που ονομάζεται “blank.aes”, το οποίο αποθηκεύει το πραγματικό ωφέλιμο φορτίο.
.webp.jpeg)
Ένας προσαρμοσμένος αλγόριθμος AES-GCM με κλειδί με σκληρό κώδικα και διάνυσμα προετοιμασίας αποκρυπτογραφεί αυτό το αρχείο κατά το χρόνο εκτέλεσης, όπως φαίνεται στο.
.webp.jpeg)
Μόλις αποκρυπτογραφηθεί, εμφανίζεται ένα σενάριο δεύτερου σταδίου με το όνομα “stub-o.pyc”, χρησιμοποιώντας κωδικοποίηση Base64, ROT13 και αντιστροφή συμβολοσειράς ως επιπλέον στρώματα απόκρυψης.
.webp.jpeg)
Το BlankGrabber απενεργοποιεί επίσης την προστασία του Windows Defender σε πραγματικό χρόνο και αφαιρεί τις υπογραφές προστασίας από ιούς μέσω του PowerShell.
.webp.jpeg)
Τροποποιεί το αρχείο κεντρικών υπολογιστών των Windows για να διακόψει την πρόσβαση σε ιστότοπους ασφαλείας ανακατευθύνοντάς τους στο 0.0.0.0. Για επιμονή, τοποθετεί ένα αντίγραφο του ωφέλιμου φορτίου του στον φάκελο εκκίνησης, ώστε να εκτελείται ξανά μετά από κάθε επανεκκίνηση.
Οι ομάδες ασφαλείας θα πρέπει να παρακολουθούν εάν το certutil.exe χρησιμοποιείται για την αποκωδικοποίηση δεδομένων που δεν είναι πιστοποιητικά, το WinRAR που εκτελείται εκτός του προεπιλεγμένου φακέλου εγκατάστασης, εντολές PowerShell που απενεργοποιούν Windows Defender και ασυνήθιστα ερωτήματα DNS που πηγαίνουν στο API του Telegram ή σε γνωστές υπηρεσίες κοινής χρήσης αρχείων.
Οι οργανισμοί θα πρέπει να διατηρούν τα συστήματα πλήρως διορθωμένα, να αποκλείουν την πρόσβαση σε μη εγκεκριμένους ιστότοπους κοινής χρήσης αρχείων και να επιβάλλουν αυστηρή λίστα επιτρεπόμενων εφαρμογών για να μειώσουν την έκθεση σε αυτόν τον τύπο απειλής.
