Sofisticirani .NET višestepeni program za učitavanje malicioznog softvera aktivno cilja Windows sisteme od početka 2022. godine, služeći kao distribucijski kanal za opasne sadržaje, uključujući kradljivce informacija i trojance za udaljeni pristup.
Ovaj program za učitavanje koristi složeni mehanizam implementacije u tri faze koji mu pomaže da izbjegne otkrivanje dok istovremeno isporučuje maliciozni softver kompromitovanim mašinama.
Prijetnja se neprestano razvija, a novije verzije implementiraju naprednije tehnike prikrivanja kako bi sakrile svoje aktivnosti od sigurnosnih rješenja.
Maliciozni softver započinje svoj lanac infekcije naizgled bezopasnom .NET izvršnom datotekom koja sadrži šifrovane komponente sljedećih faza.
.webp)
Dok su ranije varijante ugrađivale drugu fazu kao čvrsto kodirane stringove, novije verzije su usvojile sofisticiranije metode skrivanja, sakrivajući maliciozni kod unutar bitmap resursa kako bi se izbjeglo aktiviranje sigurnosnih upozorenja.
Ova evolucija pokazuje posvećenost operatera održavanju efikasnosti utovarivača u odnosu na moderna sigurnosna rješenja.
Istraživači ThreatRaya identifikovali su ovaj program za učitavanje koda putem analize ponovne upotrebe koda, uspostavljajući veze između približno 20.000 uzoraka prikupljenih tokom perioda od tri godine.
Njihovo praćenje je otkrilo da uprkos čestim promjenama prve dvije faze, treća faza održava relativno stabilnu strukturu koda, pružajući konzistentan potpis za detekciju.
Istraživački tim je primijetio da primarna vrijednost praćenja ovog programa za učitavanje leži u dobijanju svježih uzoraka i indikatora kompromitovanja, a ne u ranom otkrivanju novih porodica malicioznog softvera.
Uticaj ovog malicioznog programa bio je značajan u cijelom području sajber sigurnosti, pri čemu je maliciozni softver pretežno distribuisao prijetnje robi, uključujući AgentTesla, Formbook, Remcos i 404Keylogger.
Više faza
Statistička analiza koja obuhvata period od marta 2022. do februara 2025. pokazuje konzistentne obrasce implementacije ovih korisnih podataka, ističući pouzdanost programa za učitavanje kao mehanizma za isporuku malicioznog softvera za sajber kriminalce.
Tehnička sofisticiranost programa za učitavanje podataka najočitija je u njegovom procesu izvršavanja u fazama. Početni .NET izvršni fajl izdvaja i dešifruje ugrađene podatke prije izvršavanja druge faze u memoriji.
Ova druga faza, .NET DLL, obrađuje tri ključna parametra za lociranje i XOR dešifrovanje bitmap resursa iz prve faze, kao što je prikazano u primjeru koda ispod: –
public static void main(string ResourceName, string XORKey, string ModuleName)
{
MainForm.loops_1(); // loops and arithmetic operations
MainForm.sleep(); // sleeps several seconds
ResourceName = MainForm.decode_string(ResourceName);
MainForm.loops_2(); // loops and arithmetic operations
XORKey = MainForm.decode_string(XORKey);
Bitmap bitmap = MainForm.get_resource(ResourceName, ModuleName);
MainForm.loops_1(); // loops and arithmetic operations
byte[] array = MainForm.convert_bitmap_to_array(bitmap);
array = MainForm.decrypt_array(array, XORKey);
Assembly assembly = MainForm.assembly_load(array);
MainForm.get_type_20_method_29_and_invoke(assembly);
MainForm.loops_2(); // loops and arithmetic operations
MainForm.exit();
}Treća faza zatim upravlja raspoređivanjem konačnog korisnog sadržaja u memoriji, dovršavajući lanac infekcije uz minimiziranje rizika od otkrivanja.
Izvor: CyberSecurityNews