Технический анализ
Зловредные MSI файлы, такие как letvpn.msi, используют динамические библиотеки (DLL) во время установки. Эти DLL облегчают выполнение различных операций, включая управление свойствами, планирование задач и настройку брандмауэра. MSI файл создает запланированные задачи и настраивает правила брандмауэра для белого списка как входящего, так и исходящего трафика, связанного с вредоносным ПО, обеспечивая его бесперебойную работу.
Таблица 1: Пример файлов, созданных LetsPro.msi
| Имя файла | Размер | MD5 Hash | Родительская директория |
|---|---|---|---|
| 1 | 9996288 | D82362C15DDB7206010B8FCEC7F611C5 | C:Users%USERNAME% |
| 792258.vbs | 2405 | CD95B5408531DC5342180A1BECE74757 | C:Users%USERNAME% |
| LetsPRO.exe | 40960 | FE7AEDAB70A5A58EFB84E6CB988D67A4 | C:Users%USERNAME% |
Зловредные AI приложения
Void Arachne также продвигает AI технологии, которые могут быть использованы для виртуальных похищений и схем сексторшн. В их числе приложения для изменения голоса и подмены лиц, рекламируемые на каналах Telegram. Группа делится зараженными модификаторами приложений, создающими несогласованные дипфейки порнографии, часто используемые в схемах сексторшн.
Скриншот канала Void Arachne в Telegram, рекламирующего приложения для подмены лиц
Методы распространения
Void Arachne использует несколько начальных векторов доступа для распространения вредоносного ПО, включая SEO-поисковую оптимизацию и фишинговые ссылки. Эти ссылки размещаются на сайтах, контролируемых злоумышленниками, маскируясь под легитимные сайты и занимая высокие позиции в поисковых системах. Группа также делится зловредными MSI файлами на китайскоязычных каналах Telegram, увеличивая шансы заражения.
Сайт, контролируемый злоумышленниками, который размещает вредоносный загрузочный файл
Таблица 2: Внешние плагины Winos 4.0
| Имя плагина на китайском | Имя плагина на английском | SHA256 Hash |
|---|---|---|
| 删除360急速安全账号密码.dll | Delete 360 Speed Security Account Password.dll | 03669424bdf8241a7ef7f8982cc3d0cf56280a5804f042961f3c6a111252ffd3 |
| 提权-EnableDebugPrivilege.dll | Elevate Privileges-EnableDebugPrivilege.dll | 11a96c107b8d4254722a35ab9a4d25974819de1ce8aa212e12cae39354929d5f |
| 体积膨胀.dll | Volume Expansion.dll | 186bf42bf48dc74ef12e369ca533422ce30a85791b6732016de079192f4aac5f |
Влияние и рекомендации
Распространение этих зловредных MSI файлов представляет значительную угрозу для организаций и частных лиц. Вредоносное ПО может привести к компрометации системы, краже данных и финансовым потерям. Trend Micro подготовила обширные ресурсы для обучения сообщества по выявлению, предотвращению и устранению атак сексторшн. Жертвам настоятельно рекомендуется сообщать о происшествиях в соответствующие органы, такие как Центр жалоб на интернет-преступления (IC3). Кампания Void Arachne подчеркивает растущую сложность киберугроз и необходимость в надежных мерах кибербезопасности. Люди и организации могут защитить себя от подобных угроз, внедряя комплексные меры безопасности и оставаясь бдительными.