Cyber Threat Warning

На днях несколько пользователей предотвратили широкое распространение вируса из поста на DTF.

Пост был быстро удалён. Аккаунт почему-то не забанен/не удалён.

Такой же пост появился и на vc.ru.
Возможно, в силу низкой активности там некому сообщить об опасности.
Я не могу этого сделать потому что у меня нет там аккаунта.
Регистрироваться же только ради этого не хочется.

Не могли бы вы передать коллегам адрес страницы с опасной инструкцией?

VC-шный «герой»

DTF-ский «герой»

Дальше можно не читать.
Дальше поверхностные измышления.

В силу своих скромных способностей/возможностей к детальному пониманию и описанию подробностей расскажу хоть как-то.
Вирус предназначен для заражения компьютеров под управлением Windows. Obviously. :-|
Команды зашифрованы в base64.
Я даже не знал, что PowerShell может принимать на вход, интерпретировать и выполнять строки в base64.
Это чтобы понимать уровень моей «экспертизы». :-(

Адреса/имена я заменил на '?' на всякий случай.

Первая команда добавляет в исключения Защитника Windows файлы скринсейверов (.scr):

Вторая команда загружает с Pastebin такую директиву:

Она отключает защиту в режиме реального времени, загружает с удалённого сервера файл с расширением .jpeg и сохраняет его в папке TEMP как файл с расширением .scr.
На самом деле, это исполняемый файл.
С него снимается признак файла или удаляются/подавляются/игнорируются данные (ADS) о том, что он получен из интернета; путь до него также добавляется в исключения Защитника; файл пытается выполниться:

Это было самое простое.
Кто-то грамотней меня может меня поправить и указать на то, что я не так понял, а если не лень, то расписать всю последовательность обычным языком.

Со сложным я не справился.

Что несёт в себе payload я не знаю.

Я скачал вирус к себе на компьютер, извлёк содержимое .exe-файла, но яснее не стало.

Код извлечь я не смог, а если бы и смог, то, скорее всего, не смог бы его прочитать и понять.

Автор скрипта для доставки полезной нагрузки на Pastebin, уже успел поменять имя и путь до файла как минимум один раз. Скорее всего он делает это раз в сутки.

Контрольные суммы файла полезной нагрузки остаются неизменными. Файл тот же самый.

Если кто-то увидит у себя на компьютере файл размером 365056 байт и такой иконкой — это повод насторожиться:

Я отправил его на VirusTotal.
До меня его ещё не загружали на сервис.
Результаты на скриншотах:

Краткий поиск по кодовым именам угроз ясности не добавил.
Какой-то троян; возможно, стилер или шифровальщик.
Dr.Web, к примеру, не находит ничего подозрительного.

Если на DTF найдётся скучающий эксперт по информационной безопасности, возможно он сможет разобрать алгоритм угрозы.

Прямые ссылки на вирус давать не буду; всё это легко находится при желании.

Ссылка на результаты проверки на VirusTotal

Размер файла: 365056 байт

SHA-256: 0bde58fb72893988ef1bdf089d80b99023512116f368276de61361cb0bc0cbb9

Обновление и итог:

модераторы удалили все найденные мной страницы и несколько пропущенных.

Помимо DTF и VC эти инструкции нашлись на:

github

Дзен

telegraph

VK

И только я сделал вывод, что целью были русскоязычные пользователи, как инструкция нашлась на Medium

И хотя, на всех ресурсах кроме DTF и VC они по-прежнему доступны, угрозы эти способы на данный момент не представляют, так как страница с директивой для скачивания и применения полезной нагрузки больше не существует на Pastebin:

Not Found (#404)
This page is no longer available. It has either expired, been removed by its creator, or removed by one of the Pastebin staff.

На этом, кажется, всё.
Продолжение следует…