Nitrokod cryptocurrency mining-kampagnen går meget langt for at undgå afsløring og kan forblive aktiv i årevis.
Forskere har opdaget en ny flertrins malware-leveringskampagne, der er afhængig af legitime applikationsinstallatører distribueret via populære softwaredownloadwebsteder. Den ødelæggende levering omfatter et cryptovaluta mining-program, sker i etaper med lange forsinkelser, der kan tilføje op til næsten en måned.
“Efter den første softwareinstallation forsinkede angriberne infektionsprocessen i flere uger og slettede spor fra den oprindelige installation,” fortæller analytikere fra sikkerhedsfirmaet Check Point Software Technologies i en ny rapport. “Dette gjorde det muligt for kampagnen at operere under radaren i årevis.”
Den trojanske app-kampagne begyndte i 2019
Ifølge Check Point Research-teamet står en tyrkisktalende softwareudvikler ved navn Nitrokod bag kampagnen, som har kørt siden mindst 2019. Nitrokods websted hævder, at udvikleren har skabt gratis softwareapplikationer, herunder video- og musikkonvertere, videodownloadere og musikafspillere siden 2017 med en samlet installationsbase på omkring 500.000 brugere.
Nogle af Nitrokods trojaniserede programmer kan findes på app-downloadwebsteder som Softpedia og Uptodown. Den analyserede app Check Point hedder Google Translate Desktop og er en desktop-applikation, der giver folk mulighed for at bruge Google Translates service, som normalt kun er tilgængelig som en webtjeneste via en browser.
Faktisk er selve Google Translate Desktop-appen bygget ved hjælp af open source Chromium Embedded Framework (CEF) -projektet, der giver appudviklere mulighed for at implementere Chrome-browseren i deres apps for at vise webindhold. Dette gjorde det muligt for Nitrokod-forfatterne at oprette fungerende apps uden for meget indsats.
Ud over Google Translate Desktop distribuerer udvikleren også lignende byggede apps som Yandex Translate Desktop, Microsoft Translator Desktop, YouTube Music Desktop og Mp3 Download Manager, Pc Auto Shutdown. Check Point har identificeret brugere af disse trojaniserede applikationer i 11 lande.
Forsinket implementering af malware for at undgå registrering
Når brugeren downloader og installerer en app, sker implementeringen af ondsindede nyttelast ikke med det samme, hvilket er en strategi for at undgå detektion. Først når appinstallationsprogrammet, der er bygget med et gratis værktøj kaldet Inno Setup, ud til udviklerens websted og downloader et adgangskodebeskyttet RAR-arkiv, der indeholder applikationsfilerne. Disse er implementeret under stien Program Files (x86)Nitrokod[programnavn].
Appen kontrollerer derefter for tilstedeværelsen af en komponent kaldet opdatering.exe. Hvis den ikke findes, implementerer den den under Nitrokod-mappen og opretter en systemplanlagt opgave til at udføre den efter hver genstart. Installationsprogrammet indsamler derefter nogle oplysninger om offerets system og sender dem til udviklerens server.
Indtil dette tidspunkt er installationen ikke særlig usædvanlig for, hvordan en legitim applikation ville opføre sig: indsamling af nogle systemdata til statistiske formål og implementering af, hvad der ligner en automatisk opdateringskomponent. Men efter omkring fire genstarter systemet på fire forskellige dage, skal du opdatere.exe downloade og implementere en anden komponent kaldet chainlink1.07.exe. Mekanismen til at forsinke implementeringen og kræve flere genstarter er sandsynligvis et forsøg på at besejre sandkasseanalysesystemer, som ikke tester applikationsadfærd på tværs af flere genstarter.
Chainlink1.07.exe opretter fire forskellige planlagte opgaver, der udføres med forskellige forsinkelser.
En af dem, der udføres hver tredje dag, bruger PowerShell til at slette systemlogfiler. En anden er indstillet til at udføre hver 15. dag og downloader et andet RAR-arkiv fra et andet domæne, der bruger det bevidst vildledende navn intelserviceupdate. En tredje planlagt opgave udføres hver anden dag og er indstillet til at pakke RAR-arkivet ud, hvis det findes, mens den fjerde opgave udføres hver dag og er indstillet til at udføre en anden komponent fra arkivet.
Selvom de er indstillet til at køre med højere frekvens, gør den tredje og fjerde opgave ikke noget, før den 15-dages forsinkede opgave, der downloader RAR-arkivet, kører, da der ellers ikke er noget arkiv at udtrække og ingen eksekverbar at udføre.
“På dette tidspunkt slettes alle relaterede filer og beviser, og den næste fase af infektionskæden fortsætter efter 15 dage af Windows-værktøjet schtasks.exe,” siger forskerne. “På denne måde adskilles de første faser af kampagnen fra dem, der følger, hvilket gør det meget svært at spore kilden til infektionskæden og blokere de oprindelige inficerede applikationer.”
Den nye ødelæggende komponent er en mellemliggende dropper, der yderligere forbereder systemet til de sidste faser. Først kontrollerer den de kørende processer for kendte virtuelle maskinapplikationer og sikkerhedsprodukter, og hvis der findes nogen, stopper den udførelsen. Hvis denne kontrol er bestået, tilføjer den en ny firewallregel for de næste komponenter samt undtagelser for dem i Windows Defender.
Endelig implementerer dropperen en anden komponent kaldet nniawsoykfo1.8.exe, som derefter implementerer to andre eksekverbare filer kaldet nniawsoykfo.exe og powermanager.exe. Sidstnævnte er en kopi af open source XMRig cryptovaluta mining-programmet, mens førstnævnte er en komponent, der styrer minearbejderen og opretter forbindelse til et domæne med nvidiacenter i dets navn, hvor angribernes fælles og kontrolserver er hostet.
Programmet sender oplysninger om systemet, såsom inaktiv tid, antal CPU-kerner, uanset om det er en stationær eller bærbar computer, de installerede antivirusprogrammer, versionen af den implementerede Powermanager.exe (XMRig) og mere.
Stærke politikker for applikationsbrug, der er hovedforsvar mod trojaniserede apps
Mens falske eller trojaniserede apps ikke er en ny angrebsvektor, fremhæver snigende kampagner som denne, der formår at flyve under radaren i årevis, hvorfor det er kritisk vigtigt for organisationer at have stærke politikker for applikationsbrug og håndhæve dem for medarbejderne. Applikationshvidlisteløsninger kan også bruges på følsomme systemer til at begrænse, hvilke applikationer og hvorfra der kan downloades og installeres af medarbejdere.
Kilde: CSO
Foto: Pexels