Оновлений троян PlugX атакує розробників комп’ютерних ігор
Xakep #239. Розкрити та вивчити
Xakep #238. Забутий Android
Xakep #237. Даркнет 2018
Xakep #235. Відродження експлоїт-китів
Xakep #239. Розкрити та вивчити
Дослідники Palo Alto Networks виявили нові модифікації відомого трояна PlugX, який уже багато років застосовується під час шкідливих кампаній у Китаї.
Малвар поширюється за допомогою шкідливого документа Word, який має назву New Salary Structure 2017.doc («Новий порядок виплати зарплат 2017.doc»). Невідомі зловмисники експлуатують уразливість CVE-2017-0199, і фахівці вже неодноразово фіксували використання цього багу під час хакерських кампаній у Китаї та Ірані.
В результаті роботи експлоїту на машину жертви завантажується інсталятор для Windows (MSI) і скрипт PowerShell, зважаючи на все, заснований на цій опенсорсній бібліотеці. Переконавшись, що працює не у віртуальному середовищі, основний PlugX DLL завантажується на згадку.
Дану версію PlugX дослідники назвали paranoid («параноїк»), оскільки batch-скрипт, відповідальний за виконання малварі, також намагається «прибрати за собою», видаляючи всі файли, створені під час встановлення та початкового запуску трояна, ключі реєстру, а також ключі UserAssist.
«Атакуючі, що використовують цю версію PlugX, безумовно параноїки і побоюються, що [троян] буде виявлено на диску, у реєстрі або файловій системі. Крім того, скрипт запускає більшість команд на видалення не один раз, — пишуть аналітики Palo Alto Networks. — В результаті не повинно залишитися доказів того, що мальвар колись виконувався на диску. Через це криміналістам буде важче встановити джерело появи шкідливості».
За даними аналітиків, атаки PlugX paranoid в основному спрямовані на компанії, пов'язані з індустрією комп'ютерних ігор, проте спектр постраждалих може бути набагато ширшим, адже телеметрія Palo Alto Networks "бачить" не все.