Używali normalnego (tyle, że zhackowanego) serwera do dystrybucji malware. Ale popełnili jeden błąd i udało się namierzyć klientów na ich złośliwe oprogramowanie…

Firma „Check Point Research” (CPR) wykryła aplikację do tworzenia złośliwego oprogramowania dla arkusza kalkulacyjnego Exel o nazwie „APOMacroSploit” (AMS). Jest to konstruktor makr, który tworzy zainfekowane pliki Excel używane w atakach phishingowych. Oprogramowanie sprzedawane było na HackForums.net przez dwóch francuskich hakerów o pseudonimach: „Apocaliptique (Apo)” i „Nitrix”.

Eksperci CPR ustalili tożsamość „Nitrixa” – cały proces bardzo ciekawego „dochodzenia” można prześledzić na ich stronie.

Hakerzy bardzo mocno się starali, aby ulepszyć swoje narzędzie. Codziennie je aktualizowali, aby uniknąć wykrycia przez oprogramowanie antywirusowe. Wg CPR, stworzone narzędziem pliki były w stanie ominąć większość takiego oprogramowania. „AMS” zawierał też mechanizmy wykrywające i neutralizujące Windows Defender , Windows Antimalware Scan Interface, ale też omijał Gmaila, jak i wiele metod wykrywania phishingu opartych na wiadomościach e-mail.

Wg CPR, narzędzie było zakupione i wykorzystywane przez co najmniej 40-tu hakerów, a ataki miały miejsce w 30 krajach świata. Co ciekawe – każdy z nabywców „APOMacroSploit” dostawał oprócz aplikacji, również przygotowany przez „Apo” i „Nitrix” plik BAT, który zawierał w kodzie …. zapisany pseudonim kupującego! Ekspertom CPR udało się wejść na serwer pobierania używany przez “Apo” i “Nitroix” do przechowywania exploitów i danych (nazywają go w analizie hxxp://193[.]239[.]147[.]76/bat), skąd skopiowali skrypty opracowane dla klientów, a następnie ustalili nick`i 40-tu hakerów, co daje jakąś możliwość ich namierzenia. Ale też możliwość precyzyjnego ustalenia, który z hakerów dokonywał konkretne ataki.

I tu pojawia się pytanie z kategorii „spiskowej teoria dziejów” – czy stworzenie tego narzędzia było „naturalnym” procesem, gdy to zdolni hakerzy stworzyli fajne narzędzie, nie ukrywajmy, właściwie dla script kiddie, czy też była to akcja na przykład francuskich służb, które chciały spenetrować środowisko hakerów? Takiego pytania eksperci CPR nie zadali i nie poszli tym tropem, a szkoda! Sprawa „APOMacroSploit” to chyba pierwszy przypadek w historii hackingu, gdy to rozprowadzany złośliwy program jest podpisywany przez konkretne osoby wykorzystujące narzędzie phishingowe..

 Atak

Po stworzeniu pliku XLM (a instrukcja obsługi jak to zrobić była przez „Apo” rozpowszechniana na Youtube – sic!), pierwszym etapem ataku był phishing – przesłanie do potencjalnej ofiary e-maila z zainfekowanym załącznikiem w formacie exel. Wg CPR, dotychczas zbadane kazusy mogą wskazywać na to, że w większości przypadków był to atak spersonalizowany (spear phishing) – atakujący doskonale wiedzieli jak zachęcić ofiarę do otwarcia dokumentu.

Infekcja realizowana była automatycznie, gdy zaatakowany użytkownik otwierał dokument XLS zawierający ukryte w nim makro XLM. Makro pobierało plik BAT ze specjalnej strony internetowej. W jednym z przypadków była to np. autentyczna strona bułgarskiej firmy z branży systemów nadzoru wideo, która została przejęta przez hakerów i służyła im za przechowalnię exploitów i szkodliwych plików.

Wykonanie przez makro polecenia „attribute” powodowało ukrycie się skryptu BAT w komputerze ofiary. Następnie BAT sprawdzał wersję systemu Windows (7, 8, 8.1 i 10), a następnie dodawał link do „przechowalni” exploitów do wyjątków programu antywirusowego i firewall.

Kolejnym etapem ataku było pobranie z „przechowalni” pliku fola.exe, zawierającego dwa szkodliwe programy – DelphiCrypter i BitRAT. DelphiCrypter dokonywał wstępnej analizy systemu – m.in. poszukiwał programy antywirusowe, debugery, antymalware, sandboxy itd. Neutralizował je. W tym czasie, aby zapewnić trwałość obecności złośliwego oprogramowania następowało wstrzyknięcie, z zastosowaniem Notepad.exe pliku VBS do folderu startowego.

Następnie uruchamiany był już właściwy program – BitRAT, posiadający takie funkcje jak keylogger, szyfrowanie SSL, wydobywanie XMR, przejęcie kamery internetowej, zdalne sterowanie, przesyłanie i pobieranie plików, zgodność z TOR i in. Program łączył się ze swoim „centrum kontroli”. Komputer ofiary był pod kontrolą.

Marek Reszuta