В поисках нужного программного обеспечения пользователи часто посещают сайты и торрент-трекеры, которые кажутся безопасными, скачивают программы, устанавливают и используют их. Но действительно ли эти программы безопасны? С пиратским ПО можно "поймать" угрозы любого уровня: от майнеров до сложных руткитов. Проблема распространения вредоносного ПО через пиратское программное обеспечение не нова и сегодня имеет глобальный масштаб. Рассмотрим это на примере конкретного расследования атаки.
Инцидент
В августе 2023 года наш SOC обнаружил аномальную сетевую активность с помощью MaxPatrol SIEM. В работу была вовлечена команда реагирования на инциденты (PT CSIRT). В результате обработки инцидента было установлено, что пользователь из компании X был скомпрометирован относительно простым, но ранее неизвестным вредоносным ПО. В ходе расследования не было найдено следов фишинга, взлома внешнего периметра или других техник — пользователь просто установил программу, скачанную через торрент.
Вредоносное ПО вело себя довольно шумно: собирало информацию о компьютере жертвы, устанавливало RMS (программное обеспечение для удаленного управления) и майнер XMRig, архивировало содержимое папки Telegram пользователя (tdata) — и это только самые разрушительные действия. Собранная информация отправлялась на Telegram-бота, который выступал в роли управляющего сервера.
В результате детального изучения вредоносного ПО, цепочки заражения и Telegram-бота нашей команде удалось выявить большое количество жертв по всему миру и определить вероятного автора вредоносного ПО, которое мы назвали autoit stealer.
Жертвы
Мы зафиксировали более 250 000 зараженных устройств в 164 странах. Большинство (более 200 000) находятся в России, Украине, Беларуси и Узбекистане. В топ-10 стран также входят Индия, Филиппины, Бразилия, Польша и Германия.
Большинство жертв — некорпоративные пользователи, которые скачивают пиратское ПО с сайтов на свои домашние компьютеры. Однако среди жертв мы обнаружили государственные учреждения, образовательные учреждения, нефтегазовые компании, медицинские учреждения, строительные и горнодобывающие компании, розничную торговлю, IT и другие. Все выявленные компании получили соответствующие уведомления.
Цепочка заражения
Вредоносное ПО попадает на машину пользователя через торрент-клиент; торрент-файл скачивается с сайта topsoft[.]space.
Сайт topsoft[.]space был перерегистрирован в октябре 2022 года у украинского регистратора.
После скачивания торрента на компьютер жертвы попадает зараженный установщик программы, которую пользователь хотел получить. Помимо легитимной программы установщик также содержит вредоносный компонент, состоящий из множества отдельных программ, в основном скомпилированных скриптов AutoIt, дополнительно покрытых упаковщиком Themida. Реализация вредоносного ПО не выглядит сложной; она выполнена несколько "по учебнику" и использует простые тактики реализации атак. Цепочка заражения выполняет следующие действия:
- Проверка среды: Вредоносное ПО завершает работу, если выполнено одно из следующих условий:
- Имя пользователя совпадает с одним из следующих: Peter Wilson, Acme, BOBSPC, Johnson, John, John Doe, Rivest, mw, me, sys, Apiary, STRAZNJICA.GRUBUTT, Phil, Customer, shimamu.
- Имя компьютера совпадает с одним из следующих: RALPHS-PC, ABC-WIN7, man-PC, luser-PC, Klone-PC, tpt-PC, BOBSPC, WillCarter-PC, PETER-PC, David-PC, ART-PC, TOM-PC.
- На рабочем столе текущего пользователя присутствуют файлы с именами: secret.txt, report.odt, report.rtf, Incidents.pptx.
- Текущая ОС — Windows XP.
- Подготовка системы: Вредоносное ПО отключает отображение файлов с атрибутами "скрытый" и "системный" (устанавливается значение 0 для ключа HKEY_CU).