Исследователи Bitdefender задокументировали новую кампанию Metamorfo, в которой используются законные программные компоненты для компрометации компьютеров.
Metamorfo — это семейство банковских троянцев, которое активно работает с середины 2018 года. В первую очередь он предназначен для бразильцев и доставляется в основном через файлы Office, оснащенные макросами во вложениях спама.
Metamorfo является мощной вредоносной программой, основной функцией которой является кража банковской информации и других персональных данных от пользователя и ее фильтрация на сервере.
Что представляет собой новый банковский троян?
Metamorfo в настоящее время использует чрезвычайно эффективную технику, называемую «Hijacking DLL» (то есть угон). Техника позволяет скрывать присутствие трояна в системе и повышать свои привилегии на целевом компьютере. Мы также заметили, что вредоносная программа пытается загрузить другие файлы с сервера C2, следовательно, она также может загрузить обновленную версию с расширенным набором команд.
Что такое угон DLL?
Перехват DLL — это метод, позволяющий злоумышленнику давать команду приложению запустить сторонний код. Происходит это путем заметы библиотеки кода на вредоносную. То есть, если файл может быть выполнен, когда пользователь запускает легитимное приложение, уязвимое для перехвата DLL. Хакеры получают уязвимые, легитимные приложения и помещают их рядом с файлом DLL. Злоумышленники заменяют легитимную часть на DLL с вредоносным кодом, поэтому приложение загружает и выполняет код хакера.
Наблюдая за кампанией Metamorfo, мы увидели, что атака злоупотребляла пятью различными программными компонентами, произведенными такими поставщиками ПО, как Avira, AVG и Avast, Damon Tools, Steam и NVIDIA. Некоторые компоненты в этих продуктах загружают файлы DLL, не гарантируя, что загруженные файлы являются законными. Таким образом, вредоносный код загружается и выполняется надежным процессом, поэтому пользователи ничего не будут подозревать, если они когда-нибудь запустят диспетчер задач. Кроме того, некоторые решения в области безопасности не смогут обнаружить вредоносный код или заблокировать обмен данными на уровне брандмауэра, поскольку инициирующий процесс, вероятно, внесен в белый список.
Почему это важно?
Законные приложения обычно имеют цифровую подпись с сертификатом Authenticode (подписи кода). Впоследствии, если Контроль учетных записей пользователей (UAC) запрашивает пользователей о том, что их доверенный поставщик антивирусов хочет внести изменения в систему, они, вероятно, не будут подвергать это сомнению. Организации иногда (неправильно) настраивают свою систему обнаружения вторжений, чтобы позволять приложениям с цифровой подписью работать без помех, игнорируя их злонамеренное поведение. Некоторые решения для защиты от вредоносных программ, вероятно, не будут сканировать EXE, поскольку он исходит из надежного источника.
А для пользователей Bitdefender Advanced Threat Intelligence доступен обновленный и полный список индикаторов компрометации.
