Resumo

Em abril de 2022, o ThreatLabz descobriu vários domínios recém-registrados, que foram criados por um agente de ameaças para falsificar o portal oficial de download do sistema operacional Microsoft Windows 11. Descobrimos esses domínios monitorando o tráfego suspeito em nossa nuvem Zscaler. Os sites falsificados foram criados para distribuir arquivos ISO maliciosos que levam a uma infecção do Vidar infostealer no endpoint. Essas variantes do malware Vidar obtêm a configuração C2 de canais de mídia social controlados por invasores hospedados na rede Telegram e Mastodon.

O ThreatLabz acredita que o mesmo agente de ameaças está aproveitando ativamente a engenharia social para personificar aplicativos de software legítimos populares para distribuir o malware Vidar, pois também identificamos um repositório GitHub controlado por invasores que hospeda várias versões de backdoor do Adobe Photoshop. Esses binários hospedados no GitHub distribuem o malware Vidar usando táticas semelhantes de abuso de canais de mídia social para comunicação C2.

Neste blog, o ThreatLabz analisa o vetor de distribuição Vidar, a correlação do ator de ameaças e a análise técnica dos binários envolvidos nesta campanha.

 

Pontos chave

• ThreatLabz descobriu vários domínios recém-registrados falsificando o portal oficial de download do sistema operacional Microsoft Windows 11
• Os domínios falsificados estavam distribuindo arquivos ISO maliciosos contendo amostras do malware Vidar infostealer
• Os C2s reais usados ​​pelas amostras de malware são obtidos de canais de mídia social controlados por invasores hospedados na rede Telegram e Mastodon
• Usando os dados obtidos nesta campanha, o ThreatLabz também conseguiu identificar outra similar usando versões backdoor do Adobe Photoshop

 

Vetor de Distribuição – Tema do Windows 11

O agente da ameaça registrou vários domínios a partir de 20 de abril de 2022 que hospedam páginas da Web que se disfarçam como a página oficial de download do Microsoft Windows 11, que é a versão mais recente do sistema operacional. O ThreatLabz encontrou vários outros domínios registrados por esse agente de ameaças semelhantes ao mostrado abaixo na Figura 1. Todos esses domínios foram usados ​​para espalhar arquivos ISO maliciosos falsificados como um download do Windows 11.

A lista completa de domínios vinculados a esse agente de ameaça que foram usados ​​nesta campanha é mencionada na seção Indicadores de comprometimento (IOC).

Análise técnica

Arquivo ISO

O binário dentro do arquivo ISO é um binário PE32. O tamanho do arquivo ISO é muito grande (mais de 300 MB), o que ajuda os invasores a evitar produtos de segurança de rede onde há uma limitação de tamanho de arquivo em vigor. Exemplos de hashes MD5 para esta campanha são mostrados abaixo:

Arquivo ISO MD5 hash: 52c47fdda399b011b163812c46ea94a6 PE32
arquivo MD5 hash: 6352540cf679dfec21aff6bd9dee3770

O binário dentro do arquivo ISO é assinado digitalmente com um certificado da AVAST. No entanto, este certificado expirou e, portanto, é inválido.

A Figura 2 mostra os detalhes do certificado e o número de série correspondente.

Todos os binários desta campanha foram assinados por um certificado com o mesmo número de série. Ao girar nesse número de série, conseguimos descobrir vários outros binários maliciosos de várias campanhas e atores diferentes, o que provavelmente indica que este é um certificado roubado proveniente do comprometimento do AVAST em 2019.

Amostras de Vidar

As amostras Vidar nestas campanhas são todas empacotadas com Themida (exceto para o hash MD5 6ae17cb76cdf097d4dc4fcccfb5abd8a ) e mais de 330 MB de tamanho. No entanto, a amostra contém um arquivo PE que tem apenas cerca de 3,3 MB. A Figura 3 mostra que o restante do conteúdo do arquivo é preenchido artificialmente com 0x10 bytes para aumentar o tamanho do arquivo. As strings Vidar extraídas dessas amostras são fornecidas na seção Apêndice no final do blog.

Todos os binários abaixo estão relacionados à mesma campanha de tema do Windows 11:

MD5: 6352540cf679dfec21aff6bd9dee3770

A configuração estática do Vidar abaixo contém os parâmetros incorporados necessários para a amostra se comunicar com seu C2 e informações, incluindo a versão do malware:

• Profile: 670
• Profile ID: 739
• Version: 51.9
• URL marker: hello
• URL1: https://t.me/btc20220425
• Real C2: 195.201.250.209 (Carved out from URL1)
• URL2: https://ieji.de/@ronxik213
• Real C2: 107.189.11.124 (Carved out from URL2)

A botnet pode ser identificada por seu ID de perfil. Ambos os URLs codificados são de sites de mídia social. No entanto, eles são usados ​​como um resolvedor de ponto morto como um primeiro estágio. O marcador de URL instrui Vidar a analisar o URL do segundo estágio dos perfis de mídia social localizados no resolvedor de ponto morto.

A seguir está um exemplo de configuração do ladrão Vidar baixado do C2: 1,1,1,1,1,1,1,1,1,1,250,Default;%DESKTOP%\;*.txt:*.dat:*wallet *.*:*2fa*.*:*backup*.*:*código*.*:*senha*.*:*auth*.*:*google*.*:*utc*.*:*UTC*. *:*cripta*.*:*chave*.*;50;true;movies:music:mp3;

Essa configuração é o padrão com todas as funções de roubo ativadas (senhas, carteiras de criptomoedas, autenticação de dois fatores, etc).

As seguintes bibliotecas são baixadas do C2:

• update.zip ( 66cf4ebdceedecd9214caab7ca87908d ), que contém as seguintes bibliotecas DLL:
• freebl3.dll ( ef2834ac4ee7d6724f255beaf527e635 )
• mozglue.dll ( 8f73c08a9660691143661bf7332c3c27 )
• msvcp140.dll ( 109f0f02fd37c84bfc7508d4227d7ed5 )
• nss3.dll ( bfac4e3c5908856ba17d41edcd455a51 )
• softokn3.dll ( a2ee53de9167bf0d6c019303b7ca84e5 )
• sqlite3.dll ( e477a96c8f2b18d6b5c27bde49c990bf )
• vcruntime140.dll ( 7587bf9cb4147022cd5681b015183046 )

Todas essas bibliotecas são legítimas que o Vidar aproveita para extrair credenciais e outros dados de diferentes aplicativos e navegadores.

MD5: da82d43043c101f25633c258f527c9d5
MD5: e9a3562f3851dd2dba27f90b5b2d15c0

Configuração estática do Vidar:

• Profile: 1281
• Profile ID: 755
• Version: 51.9
• URL marker: hello
• URL1: 5.252.178.50
• URL2: https://koyu.space/@ronxik123
• Real C2: 107.189.11.124  (Carved out from URL2)

Para essas amostras, o campo URL1 na configuração estática é um C2 real e um perfil de mídia social é usado como URL de backup.

A configuração do ladrão Vidar baixada deste C2 foi a seguinte:

1,1,0,1,1,1,1,0,0,1,250,none;

Essa configuração é personalizada para extrair senhas de redes sociais com todos os outros recursos do Vidar desabilitados.

As bibliotecas baixadas do C2 são as mesmas do exemplo anterior com o mesmo update.zip (66cf4ebdceedecd9214caab7ca87908d).

Vetor de Distribuição – Tema Adobe Photoshop 

O ThreatLabz também identificou um repositório GitHub controlado por invasores que hospeda versões de backdoor do aplicativo Adobe Photoshop Creative Cloud, que atribuímos ao mesmo agente da ameaça. A Figura 4 mostra o repositório GitHub ( https://github.com/AdobeInstal ) usado pelo invasor para hospedar uma versão backdoor do Adobe Photoshop.

Análise técnica

A amostra com o hash MD5 abaixo pertence a esta campanha do tema Adobe Photoshop.

MD5 6ae17cb76cdf097d4dc4fcccfb5abd8a

Configuração estática do Vidar:

• Profile: 1199
• Profile ID: 0
• Version: 51.8
• URL marker: hello
• URL1: https://t.me/mm20220428
• Real C2: 195.201.250.209  (Carved out from URL1)
• URL2: https://koyu.space/@ronxik123
• Real C2: 107.189.11.124 (Carved out from URL2)

A configuração do ladrão Vidar baixada do C2 foi a seguinte: 1,1,1,1,1,1,1,1,1,1,250,Default;%DESKTOP%\;*.txt:*.dat:*wallet* .*:*2fa*.*:*backup*.*:*código*.*:*senha*.*:*auth*.*:*google*.*:*utc*.*:*UTC*.* :*cripta*.*:*chave*.*;50;true;movies:music:mp3;

As bibliotecas baixadas do C2 são as mesmas do exemplo anterior com o mesmo update.zip ( 66cf4ebdceedecd9214caab7ca87908d ).

Abuso de mídia social para comunicação C2

Todos os binários envolvidos nesta campanha buscam os endereços IP dos servidores C2 de contas de mídia social registradas pelo invasor nas redes Telegram e Mastodon. No passado, os agentes de ameaças que distribuíam o Vidar abusaram de outras redes de mídia social, como o Mastodon. No entanto, o abuso do Telegram é uma nova tática que eles adicionaram ao seu arsenal.

Abuso de telegram

Nessas campanhas, o agente da ameaça criou vários canais do Telegram com o endereço IP C2 na descrição do canal. O formato usado para armazenar o endereço IP C2 nos perfis de mídia social é o seguinte para esta campanha:

<C2_Url_Marker> <C2_IP_address>|

O campo C2_Url_Marker nessas campanhas era olá. A convenção de nomenclatura para os canais do Telegram inclui uma data que corresponde à data em que esses canais foram criados. Como exemplo, o canal com o identificador btc20220425 corresponde a um canal criado em 25 de abril de 2022, usando btc_stacking como nome conforme mostrado na Figura 5.

Abuso de rede Mastodon

A rede Mastodon é uma rede social descentralizada que permite que qualquer pessoa implante sua própria instância de uma comunidade online auto-hospedada. Existem várias instâncias dessas comunidades online na Internet, que são construídas usando o Mastodon. Duas dessas instâncias são ieji[.]de e koyu[.]space . O agente da ameaça criou um perfil em ambas as comunidades e armazenou o endereço IP C2 na seção de perfil usando um formato semelhante ao usado para os canais do Telegram. A Figura 6 e a Figura 7 mostram os perfis criados pelo agente da ameaça em ieji[.]de e koyu[.]space, respectivamente.

Conclusão

Os agentes de ameaças que distribuem o malware Vidar demonstraram sua capacidade de fazer engenharia social nas vítimas para instalar o ladrão Vidar usando temas relacionados aos mais recentes aplicativos de software populares. Como sempre, os usuários devem ser cautelosos ao baixar aplicativos de software da Internet e baixar software apenas dos sites oficiais dos fornecedores. A equipe do Zscaler ThreatLabZ continuará monitorando esta campanha, assim como outras, para ajudar a manter nossos clientes seguros.

Detecção de sandbox na nuvem Zscaler

Além das detecções de sandbox, a plataforma de segurança em nuvem multicamadas do Zscaler detecta indicadores em vários níveis.

Win32.Downloader.Vidar
Win64.Downloader.Vidar

Indicadores de compromisso

Hashes

52c47fdda399b011b163812c46ea94a6
da82d43043c101f25633c258f527c9d5
e9a3562f3851dd2dba27f90b5b2d15c0
6ae17cb76cdf097d4dc4fcccfb5abd8a

Domínios

ms-win11[.]com
ms-win11.midlandscancer[.]com
win11-serv4[.]com
win11-serv[.]com
win11install[.]com
ms-teams-app[.]net

URLs para buscar endereços C2

https://t.me/btc20220425
https://ieji.de/@ronxik213
https://koyu.space/@ronxik123
https://t.me/mm20220428

URLs para buscar arquivos ISO

files.getsnyper[.]com/files/msteams/Setup.iso
files.getsnyper[.]com/files/windows11/Setup.iso
files.getsnyper[.]com/files/msteamsww/Setup.iso

C2s reais

195.201.250.209
107.189.11.124
5.252.178.50
107.189.11.124

Apêndice

Strings Decodificadas

Plugins de carteiras

Wallets
Plugins
*wallet*.dat
\\Wallets\\
keystore
Ethereum\
\\Ethereum\\
Electrum
\\Electrum\\wallets\\
ElectrumLTC
\\Electrum-LTC\\wallets\\
Exodus
\\Exodus\\
exodus.conf.json
window-state.json
\\Exodus\\exodus.wallet\\
passphrase.json
seed.seco
info.seco
ElectronCash
\\ElectronCash\\wallets\\
default_wallet
MultiDoge
\\MultiDoge\\
multidoge.wallet
JAXX
\\jaxx\\Local Storage\\
file__0.localstorage
Atomic
\\atomic\\Local Storage\\leveldb\\
000003.log
CURRENT
LOCK
LOG
MANIFEST-000001
0000*
Binance
\\Binance\\
app-store.json
Coinomi
\\Coinomi\\Coinomi\\wallets\\
*.wallet
*.config
wallet_path
SOFTWARE\\monero-project\\monero-core
\\Monero\\
SELECT fieldname, value FROM moz_formhistory
\\files\\Soft
\\files\\Soft\\Authy
\\Authy Desktop\\Local Storage\\
\\Authy Desktop\\Local Storage\\*.localstorage
\\Opera Stable\\Local State
INSERT_KEY_HERE
JohnDoe
HAL9TH
api.faceit.com
/core/v1/nicknames/
about
Mozilla/5.0 (iPhone; CPU iPhone OS 6_0 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Version/6.0 Mobile/10A5376e Safari/8536.25
C:\\ProgramData\\
.exe
:Zone.Identifier
[ZoneTransfer] ZoneId=2
Windows
ProgramData
RECYCLE.BIN
Config.Msi
System Volume Information
msdownld.tmp
Recovery
Local\\Temp
Program Files
Recycle.Bin
All Users
MicrosoftEdge\\Cookies
Users\\Public
Local\\Packages
Local\\NuGet
Roaming\\WinRAR
Local\\Microsoft
Microsoft
fee_estimates
peers
mempool
banlist
governance
mncache
mnpayments
netfulfilled
passwords.txt
Login Data
Cookies
Web Data
\\files\\Autofill
\\files\\Cookies
\\files\\CC
\\files\\History
\\files\\Downloads
\\files\\
\\files\\Files
hwid
os
platform
profile
user
cccount
fcount
telegram
ver
vaultcli.dll
VaultOpenVault
VaultCloseVault
VaultEnumerateItems
VaultGetItem
VaultFree
SELECT url FROM moz_places
%s\\Mozilla\\Firefox\\profiles.ini
\\signons.sqlite
SELECT encryptedUsername, encryptedPassword, formSubmitURL FROM moz_logins
\\logins.json
formSubmitURL
usernameField
encryptedUsername
encryptedPassword
guid
SELECT host, name, value FROM moz_cookies
SELECT origin_url, username_value, password_value FROM logins
SELECT name, value FROM autofill
SELECT name_on_card, expiration_month, expiration_year, card_number_encrypted FROM credit_cards
SELECT target_path, tab_url from downloads
SELECT url, title from urls
SELECT HOST_KEY, is_httponly, path, is_secure, (expires_utc/1000000)-11644480800, name, encrypted_value from cookies
C:\\Users\\
\\AppData\\Roaming\\FileZilla\\recentservers.xml
<Host>
<Port>
<User>
<Pass encoding=\
Soft: FileZilla\n
\\AppData\\Roaming\\.purple\\accounts.xml
<protocol>
<name>
<password>
Soft: Pidgin\n
\\Thunderbird\\Profiles\\
C:\\Program Files (x86)\\Mozilla Thunderbird
APPDATA
LOCALAPPDATA
Thunderbird
\\files\\Telegram
\\Telegram Desktop\\tdata\\*
D877F783D5D3EF8C*
\\Telegram Desktop\\tdata\\
key_datas
\\Telegram Desktop\\tdata\\D877F783D5D3EF8C\\*
map*
\\Telegram Desktop\\tdata\\D877F783D5D3EF8C\\
firefox.exe
plugin-container.exe
update_notifier.exe
Mozilla Firefox
\\Mozilla\\Firefox\\Profiles\\
Pale Moon
\\Moonchild Productions\\Pale Moon\\Profiles\\
Waterfox
\\Waterfox\\Profiles\\
Cyberfox
\\8pecxstudios\\Cyberfox\\Profiles\\
BlackHawk
\\NETGATE Technologies\\BlackHawk\\Profiles\\
IceCat
\\Mozilla\\icecat\\Profiles\\
K-Meleon
\\K-Meleon\\
Google Chrome
\\Google\\Chrome\\User Data\\
Chromium
\\Chromium\\User Data\\
Kometa
\\Kometa\\User Data\\
Amigo
\\Amigo\\User Data\\
Torch
\\Torch\\User Data\\
Orbitum
\\Orbitum\\User Data\\
Comodo Dragon
\\Comodo\\Dragon\\User Data\\
Nichrome
\\Nichrome\\User Data\\
Maxthon5
\\Maxthon5\\Users\\
Sputnik
\\Sputnik\\User Data\\
Epic Privacy Browser
\\Epic Privacy Browser\\User Data\\
Vivaldi
\\Vivaldi\\User Data\\
CocCoc
\\CocCoc\\Browser\\User Data\\
URAN
\\uCozMedia\\Uran\\User Data\\
QIP Surf
\\QIP Surf\\User Data\\
Cent Browser
\\CentBrowser\\User Data\\
Elements Browser
\\Elements Browser\\User Data\\
TorBro Browser
\\TorBro\\Profile\\
Suhba Browser
\\Suhba\\User Data\\
Mustang Browser
\\Rafotech\\Mustang\\User Data\\
Chedot Browser
\\Chedot\\User Data\\
Brave_Old
\\brave\\
7Star
\\7Star\\7Star\\User Data\\
Microsoft Edge
\\Microsoft\\Edge\\User Data\\
360 Browser
\\360Browser\\Browser\\User Data\\
QQBrowser
\\Tencent\\QQBrowser\\User Data\\
Opera
\\Opera Software\\Opera Stable\\
OperaGX
\\Opera Software\\Opera GX Stable\\
Local State
Cookies
%s_%s.txt
TRUE
FALSE
\\Microsoft\\Windows\\Cookies\\Low\\
Cookies\\IE_Cookies.txt
\\Packages\\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\\AC\\#!001\\MicrosoftEdge\\Cookies\\
Cookies\\Edge_Cookies.txt
\\files\\Wallets
%USERPROFILE%
%DESKTOP%
KERNEL32.DLL
LoadLibraryA
GetProcAddress
VirtualAllocExNuma
gdi32.dll
ole32.dll
user32.dll
psapi.dll
BCRYPT.DLL
BCryptCloseAlgorithmProvider
BCryptDestroyKey
BCryptOpenAlgorithmProvider
BCryptSetProperty
BCryptGenerateSymmetricKey
BCryptDecrypt
CRYPT32.DLL
CryptUnprotectData
CryptStringToBinaryA
C:\\ProgramData\\nss3.dll
NSS_Init
NSS_Shutdown
PK11_GetInternalKeySlot
PK11_FreeSlot
PK11_Authenticate
PK11SDR_Decrypt
advapi32.dll
RegOpenKeyExA
RegQueryValueExA
RegCloseKey
RegOpenKeyExW
RegGetValueW
RegEnumKeyExA
RegGetValueA
GetUserNameA
GetCurrentHwProfileA
wininet.dll
InternetCloseHandle
InternetReadFile
HttpSendRequestA
HttpOpenRequestA
InternetConnectA
InternetOpenA
HttpAddRequestHeadersA
HttpQueryInfoA
InternetSetFilePointer
InternetOpenUrlA
InternetSetOptionA
DeleteUrlCacheEntry
CreateCompatibleBitmap
SelectObject
BitBlt
DeleteObject
CreateDCA
GetDeviceCaps
CreateCompatibleDC
CoCreateInstance
CoUninitialize
GetDesktopWindow
ReleaseDC
GetKeyboardLayoutList
CharToOemA
GetDC
wsprintfA
EnumDisplayDevicesA
GetSystemMetrics
GetModuleFileNameExA
GetModuleBaseNameA
EnumProcessModules

 

Fonte: Zscaler