Злоумышленники используют обычную безвредную команду Windows Finger для загрузки и установки вредоносного бэкдора на устройства жертв.
Команда "палец" - это утилита, созданная в операционных системах Linux/Unix, которая позволяет локальному пользователю получить список пользователей на удаленной машине или информацию о конкретном удаленном пользователе. В дополнение к Linux, Windows включает в себя finger.exe команда, которая выполняет те же функции.
Чтобы выполнить команду Finger, пользователь должен ввести finger [user]@[remote_host]. Например, палец bleeping@www.bleepingcomputer.com.
В сентябре мы сообщили, что исследователи безопасности обнаружили способ использовать палец в качестве Лолбина для загрузки вредоносных программ с удаленного компьютера или эксфильтрации данных. LolBins-это законные программы, которые могут помочь злоумышленникам обойти средства контроля безопасности для извлечения вредоносных программ, не вызывая предупреждения безопасности в системе.
Палец, используемый в активной кампании вредоносных программ
На этой неделе исследователь безопасности Кирк Сэйр обнаружил фишинговую кампанию, использующую команду Finger для загрузки вредоносной программы minebridge backdoor.
FireEye впервые сообщил о вредоносном ПО MineBridge после обнаружения многочисленных фишинговых кампаний, направленных на южнокорейские организации. Эти фишинговые письма содержат вредоносные документы Word, замаскированные под резюме соискателя вакансии, которые устанавливают вредоносное ПО MineBridge.
Как и предыдущие кампании MineBridge, замеченные FireEye, та, что была обнаружена Сэйром, также претендует на то, чтобы быть резюме соискателя работы, как показано ниже.
Когда жертва нажимает на кнопки "Включить редактирование" или "включить содержимое", будет выполнен защищенный паролем макрос для загрузки вредоносного ПО MineBridge и запуска его.
BleepingComputer смог обойти защиту паролем на слове macro, которое показано ниже в его запутанном виде.
Команда deobfuscated, выполняемая макросом, показанным ниже, использует команду finger для загрузки сертификата в кодировке Base64 с удаленного сервера и сохраняет его как %AppData%\vUCooUr.
Сертификат, полученный с помощью команды finger, представляет собой исполняемый файл вредоносного загрузчика с кодировкой base64. Этот сертификат декодируется с помощью certutil.exe команда, сохраненная как %AppData%\vUCooUr.exe а потом казнили.
После выполнения загрузчик загрузит исполняемый файл TeamViewer и использует захват DLL для боковой загрузки вредоносной DLL-программы MineBridge malware.
Как только MineBridge будет загружен, удаленные субъекты угроз получат полный доступ к компьютеру и позволят им прослушивать через микрофон зараженного устройства и выполнять другие вредоносные действия.
"В совокупности два метода C2 поддерживают команды для загрузки и выполнения полезных нагрузок, загрузки произвольных файлов, самоудаления и обновления, листинга процессов, выключения и перезагрузки системы, выполнения произвольных команд оболочки, повышения уровня процесса, включения/выключения микрофона TeamViewer и сбора информации о системе UAC",-объясняет FireEye в своем отчете.
Поскольку Finger сегодня используется редко, рекомендуется, чтобы администраторы блокировали команду Finger в своей сети, будь то с помощью AppLocker или других методов.