Кряк с вредоносом

В середине марта 2024 года аналитики Центра кибербезопасности компании F.A.C.C.T. обнаружили и провели мероприятия по реагированию на инцидент, связанный с загрузкой вредоносного файла на рабочее устройство сотрудника одной российской компании. Модулем динамического анализа MDP файл был автоматически атрибутирован к семейству Vidar — шпионскому ПО, собирающему информацию с компьютера жертвы (рис. 1). Собранные пользовательские данные могут использоваться для угона аккаунтов в мессенджерах, например, Telegram, хищения денежных средств с банковских карт и криптокошельков. Помимо кражи данных, Vidar может применяться в качестве загрузки других модулей вредоносного ПО.

Рис. 1. Общая информация о вредоносном файле

Анализ событий показал, что вредоносный архив был загружен с файлообменника MediaFire (рис. 2), а перед этим пользователь посещал ресурс, на котором предлагались для скачивания популярные утилиты, офисные приложения — как их взломанные версии, так и отдельно активаторы к ним — ПО, предназначенное для обхода встроенных систем защиты программ от неавторизованного использования.

Рис. 2. Сведения о загрузке вредоносного архива с файлообменника MediaFire

Рис. 3. Сведения о посещении ресурса, через который распространяется вредоносное ПО

Решение F.A.C.C.T. Managed XDR моментально сообщило об опасном событии, и аналитики смогли оперативно предотвратить развитие инцидента. Затем после этапов обнаружения, анализа и взятия под контроль инцидента, убедившись, что события больше не представляют опасность, было проведено исследование, которое раскрыло истинный масштаб данной кампании по распространению вредоносного ПО.

Аналитики Центра кибербезопасности F.A.C.C.T. с помощью системы графового анализа изучили сетевую инфраструктуру вредоносного сайта из инцидента и обнаружили более 1300 уникальных доменов, участвующих в данной кампании.

Привлекло внимание аналитиков не только количество ресурсов, использующихся для загрузки вредоносного ПО под видом взломанного софта, но и способы продвижения этих сайтов. Оказалось, что злоумышленники создали целую сеть поддельных аккаунтов в различных социальных сетях, массово размещали сообщения и посты рекламного характера на площадках с видеоконтентом и образовательных порталах.

Таким способом злоумышленники с одной стороны пытались масштабировать свою кампанию, с другой — замотивировать пользователей воспользоваться якобы преимуществом взломанного софта за счет отсутствия трат на покупку.

Злоумышленники нашли еще одну категорию потенциальных жертв  — тех, кто столкнулся с проблемой использования ПО из-за ограничений. В текущей геополитической обстановке, когда многие вендоры ушли из России, пользователям, системным администраторам в организациях становится трудно найти замену программного обеспечения, которое при этом не будет уступать по функциональности и удобству. Поэтому пользователи или администраторы различных организаций прибегают к поиску обходных путей. Часто они ищут в интернете способы активации или просто взломанное ПО, среди которого можно выделить антивирусы, программы для работы с фото и видео, офисные приложения, программы для проектирования и моделирования.

Как показал инцидент, предложения установить взломанное ПО или нелегальные активаторы могут содержать вредоносную нагрузку, что приведет к компрометации данных пользователя и, в худших случаях, всей инфраструктуры организации.

Для защиты от подобных угроз необходимо использовать комплексный подход к обеспечению кибербезопасности, применяя как организационные, так и технические меры в организации. К эффективным техническим мерам сегодня относятся применение систем класса XDR, например, системы защиты от киберугроз F.A.C.C.T. Managed XDR.

Масштаб кампании злоумышленников

С конца прошлого года с помощью системы F.A.C.C.T. Managed XDR была обнаружена и локализована череда инцидентов в различных российский компаниях, связанных с попыткой загрузки вредоносного файла на рабочий компьютер сотрудника, пытавшегося активировать или установить взломанное программное обеспечение. С помощью системы графового анализа F.A.C.C.T. было проведено исследование инфраструктуры сайтов из последних инцидентов, связанных с распространением вредоносного ПО под видом кряков. В результате анализа было обнаружено 1316 уникальных доменов, входящих во вредоносную инфраструктуру кампании по распространению вредоносного ПО. Кроме общей инфраструктуры доменные имена часто объединяются комбинациями схожих ключевых слов, такими как crack, software, key, soft и т.д.. На момент анализа часть из найденных доменов были уже недоступны, например, некоторые были просрочены или размещались на доменных парковках, но продолжали иметь инфраструктурную связь с другими активными ресурсами. В связи с этим можно точно утверждать, что неактивные на момент исследования домены были также созданы для распространения вредоносного ПО. Использование сервиса Web Archive позволило в некоторых случаях это подтвердить.

Для продвижения кампании злоумышленниками задействуются различные способы привлечения потенциальных жертв на свои ресурсы. Для этих целей были задействованы различные видеохостинги, образовательные платформы и социальные сети, например только в LinkedIn было обнаружено более 300 уникальных аккаунтов, рекламирующих сайты со взломанным ПО (рис. 4). Об этом подробнее мы расскажем далее.

Описание ресурсов

Ресурсы-приманки с вредоносными ссылками были созданы на основе нескольких типовых шаблонов. При анализе активных на момент исследования ресурсов было установлено, что они реализованы с помощью WordPress с использованием бесплатных тем и лишь на одном из таких сайтов был блог, созданный с помощью сервиса Blogger. Использование WordPress можно объяснить легкостью, быстротой и доступностью для всех, так как он имеет широкие функциональные возможности при создании какого-либо контента (рис. 5).

Примечательно, что чаще всего на сайте встречаются авторы с ником admin. В начале веб-страницы содержится краткое описание предлагаемого ПО, например различных пакетов Microsoft Office, решений компании Adobe, AutoCad, Nanocad, программ активации офисных приложений и операционных систем KMS. Также присутствует навигация по сайту с поиском, последними публикациями, выбором категорий и ссылками на социальные сети, такие как Facebook, Twitter, LinkedIn, Pinterest.

В статьях на этих ресурсах часто указывалось, что программа является абсолютно безопасной, например: «This software is a very safe and easy. Activation program without any harmful effects on the system file» — «Это ПО представляет собой очень безопасную и простую программу активации, не оказывающую вреда на системные файлы». Далее следует описание ключевых особенностей программного обеспечения, нововведений в сравнении с предыдущей версией и функциональных возможностей.

В конце статей авторы публикуют список лицензионных и серийных ключей, системные требования, инструкцию по установке и активации ПО. Завершается все размещением ссылок, с которых после цепочки перенаправлений скачивается вредоносное ПО. На некоторых сайтах было две кнопки с URL-адресом: в первом случае ссылка вела на загрузку вредоносного ПО с файлообменника, а во втором указывалась ссылка на официальный сайт ПО (рис. 6).

Продвижение

При исследовании вредоносных ресурсов с помощью системы графового анализа компании F.A.C.C.T. было также обнаружено, что многие из них были связаны с рекламирующими их аккаунтами из социальной сети LinkedIn. Среди российских ресурсов информацию о преимуществах программ и ссылки на скачивание взломанных версий злоумышленники размещали в популярных  социальных сетях, видеохостингах и образовательных платформах.

Дополнительный анализ аккаунтов и постов на этих площадках показал, что весь материал публиковался шаблонно, в одном стиле, что говорит о том, что злоумышленники не уделяли особого внимания на оформление, концентрируясь исключительно на охвате аудитории.

На подобные публикации можно также наткнуться в выдаче популярных поисковых систем при поиске в интернете информации о взломанном офисном ПО и других нелегальных способов его активации.

В некоторых случаях злоумышленники, оставляя «рекламные» посты и комментарии на различных площадках, не использовали отдельные вредоносные ресурсы в цепочке, а сразу ввели по ссылке на загрузку вредоносного ПО, размещенного на файлообменниках. Общая информация о софте представлялась в таком информационном посте в виде обычного текста и ссылки на загрузку. Например, были обнаружены случаи размещения информации в материалах для урока на одной из популярных образовательных платформ или под описанием к видео на популярном отечественном видеохостинге.

Рис. 7. Пример описания под видео на видеохостинге

LinkedIn

На момент анализа такого неклассического на сегодняшний день вектора заражения нами было найдено более 300 уникальных аккаунтов в LinkedIn, которые использовались для продвижения ресурсов с вредоносным ПО под видом взломанных программ и активаторов. Чаще всего в качестве вектора заражения злоумышленники используют фишинговые письма, но в данном случае схема с доставкой вредоносного ПО осуществляется через аккаунты в социальной сети.

Большинство профилей между собой похожи, они хорошо заполнены, есть общая информация о человеке, его образовании, опыте работы, помимо этого, у аккаунта присутствуют подписчики. Есть учетные записи с премиум-подпиской, а также аккаунты, которые прошли верификацию, либо же с информацией о своих проектах, например, на GitHub. Аналитики Центра кибербезопасности F.A.C.C.T. обнаружили, что у некоторых профилей  статьи c информацией о кряках были удалены. Это может означать, что изначально аккаунт был взломан, а потом владелец восстановил доступ к странице и удалил публикации.

Кроме того, встречаются профили, которые были специально созданы для распространения кряков. У них, как правило, меньше подписчиков, чем у взломанных аккаунтов, а в имени профиля чаще всего встречается название домена, при этом профиль заполнен не очень информативно.

В ходе анализа статей в LinkedIn было выявлено множество профилей, в которых домашним регионом были указаны страны Азии, в первую очередь Пакистан, Индия, далее Бангладеш, а также Бразилия и Египет. Примечательно, что чаще всего профили были зарегистрированы именно в Пакистане.

Рис. 10. Профили в LinkedIn для продвижения ссылок с вредоносным ПО

Помимо стран, интерес представляют и должности, указанные в профиле. Среди них можно выделить большое количество студентов, SEO и IT-специалистов:

• студент (например, Student at Arizona State University);
• SEO (например, Search Engine Optimization Executive at Best Free Crack);
• блогер (например, Blogger at Software Advice);
• разработчик (например, Android Developer at NileTechno);
• руководитель (например, Founder at Boston Consulting Group (BCG);
• архитектор (например, Architect at sorsor architect);
• дизайнер (например, Website Designer with full stack).

Некоторые посты были опубликованы еще в 2017 году. В последующие годы рост таких публикаций увеличивался. Пик активности аккаунтов, размещающих рекламные посты вредоносных сайтов, был зафиксирован в 2022 и 2023 годах, при этом за первый квартал 2024 года было найдено почти столько же новых постов, как за весь 2023 год. Это может говорить о том, что вредоносная кампания только набирает обороты. При подсчете статистики для каждого аккаунта рассматривалась только одна статья, однако стоит отметить, что пользователи в некоторых случаях опубликовали более одной статьи.

По своему содержанию и наполнению публикации в LinkedIn похожи на статьи, опубликованные на ресурсах, с которых распространяется вредоносное ПО. В начале публикации часто идет описание программы, а также преимущества загрузки, которые обуславливались экономией денежных средств. Далее идет ссылка на прямую загрузку или следующий вредоносный ресурс из цепочки, небольшая инструкция и ключи для активации ПО. Описанные в статьях преимущества нацелены на мотивацию пользователей переходить по ссылкам.

Для загрузки вредоносного файла чаще всего необходимо перейти на сторонний ресурс, но нам встречались ссылки, которые вели сразу на файлообменник (рис. 12) без редиректов на сайты-посредники.

В редких случаях под статьями на LinkedIn могут встретиться комментарии с ссылками на вредоносные ресурсы, которых не было в первоначальной статье. Они все также вели на ресурсы, распространяющие вредоносное ПО под видом кряков.

Технические детали вредоносного ПО

Загрузка вредоносного ПО

Во всех рассмотренных случаях вредоносное ПО в итоге загружается с файлообменников. Самым популярным является MEGA, использование которого было замечено еще в 2018 году. В ходе исследования было установлено, что с 2023 года начал набирать у злоумышленников популярность файлообменник Dropbox. В редких случаях использовался MediaFire.

Сценарии получения конечной ссылки на файлообменник могут быть разными:

Сценарий 1.

Пользователь попадает на вредоносный сайт с кряками через поисковую систему. При попытке скачать предложенное взломанное ПО или активатор будет происходить перенаправление на промежуточный сайт со ссылкой на файлообменник. На разных ресурсах с кряками будет перенаправление на различные сайты с собственными стилями.

Рис. 13. Промежуточный сайт со ссылкой на файлообменник

Сценарий 2.

Пользователь во время поиска ПО в Интернете может найти ссылки на статьи в социальных сетях, описывающих способы активации ПО. В таком посте могут размещаться комментарии, содержащие прямые ссылки на сайты со взломанным ПО либо ссылки-сокращатели, ведущие в итоге на сайты со взломанным ПО.

Рис. 14 Комментарии с ссылками-сокращателями на сайты со взломанным ПО

В итоге пользователь переходит на вредоносный сайт, где, как и в первом сценарии, скачает  файл с файлообменника.

Сценарий 3.

Пользователь во время поиска ПО в Интернете может найти пост или статью в социальных сетях, где будет расположена прямая ссылка на файлообменник. В данном случае пользователь не будет проходить цепочку редиректов, а сразу перейдет на файлообменник с загрузкой вредоносного ПО.

Сценарий 4.

Пользователь во время поиска ПО в Интернете может найти пост или статью в социальных сетях, где будет расположена ссылка, ведущая на скачивание текстового файла (.txt), в котором будет содержаться ссылка на конечный файлообменник с загрузкой вредоносного ПО.

Прежде чем перейти к загрузке пользователю необходимо будет вручную скопировать ссылку и перейти по ней в браузере.

Рис. 15. Пост в социальной сети со ссылкой на текстовый файл

Рис. 16. Содержимое текстового файла

Формат файлов

Во всех рассмотренных случаях было выявлено распространение запароленных архивов. Можно выделить три способа распространения пароля:

1. В названии архива, например P@ss_1234.rar, где 1234 — пароль от архива.
2. В названиях файлов в архиве, например FilePass1234.txt, где 1234 — пароль от архива.
3. Пароль от архива отображается на ресурсе из цепочки перенаправлений, на котором располагается ссылка на файлообменник.

Рис. 17. Пример отображения пароля к архиву на сайте, который ведет к файлообменнику

При рассмотрении структуры архивов было установлено, что все они содержат один исполняемый EXE-файл, который является вредоносным ПО, а также другие файлы, которые необходимы для работы такого ПО.

Также можно встретить так называемую матрешку из двух архивов с одинаковым именем. В последнем архиве находятся файлы как относящиеся к вредоносному ПО, так и являющиеся легитимными.

Рис. 18. Структура архива с вредоносным ПО в интерфейсе F.A.C.C.T. Managed XDR

Семейства

При анализе загруженных вредоносных экземпляров можно отметить, что большая часть из них принадлежит к вредоносному семейству Amadey. Вредоносные экземпляры этого семейства способны собирать данные со скомпрометированного компьютера и отправлять их злоумышленникам, по команде загружать дополнительные модули с другим вредоносным функционалом. Например, ранее Amadey использовался для загрузки и исполнения в зараженной системе шифровальщика Lockbit. В исследуемых экземплярах в качестве дополнительного модуля был майнер криптовалюты, атрибутированный как Coinminer.

Другая часть вредоносных экземпляров относится к стилерам. Основная их цель  — это кража информации со скомпрометированного компьютера и дальнейшая эксфильтрация этих данных на сервер злоумышленника. Среди распространяющихся стилеров под видом кряков можно выделить Vidar, RedLine Stealer, CryptBot и Ramnit с дополнительными функциями банковского трояна.

Как мы писали ранее, во время проведения исследования, часть из ресурсов была недоступной, но в аналитических отчетах различных вендоров по информационной безопасности встречались упоминания ресурсов из данной кампании, с которых под видом кряков распространялись и другие семейства вредоносного ПО, например, Racoon Stealer.

Рис. 19. Статистика семейств вредоносных программ.

Заключение

Сегодня основным вектором первичного проникновения, заражения является почтовый фишинг. Злоумышленники проводят массовые рассылки и в письмах пытаются убедить получателя, как правило, с помощью социальной инженерии, запустить вредоносное вложение.

В этой кампании злоумышленники создали разветвленную обширную сеть из поддельных аккаунтов, публикаций, хорошо оформленных сайтов-приманок, реализуя альтернативный способ заражений конечный устройств пользователей,  которые сами ищут софт или способы его активации.  Потенциальная жертва изначально мотивирована, следовательно реализация атаки имеет больший шанс на успех. С уходом иностранных вендоров и исчезновением из легального поля некоторых популярных лицензионных программ российские пользователи и администраторы стали чаще прибегать к поиску обходных путей, в том числе, использования «кряков» и других нелегальных способов активации.

Скомпрометированное рабочее устройство с учетной записи не только создает риск проведения шпионажа и утечки корпоративных данных, но и может являться начальным вектором для более сложной, комплексной атаки, в результате которой будет скомпрометирована и выведена из строя вся инфраструктура организации.

Использование стилеров в данной схеме создает еще одну проблему для корпоративной кибербезопасности, когда инфицируется личное устройство – домашний ПК или ноутбук, который используется сотрудником в рабочих целях. Таким образом злоумышленники компрометируют неподконтрольные для специалистов отдела ИБ или IT-устройства работников, через которые потенциально могут развивать атаку на компанию.

Рекомендации

Наше исследование показало, чем опасно скачивание нелицензионного программного обеспечения. Для защиты от подобных угроз необходимо следовать следующим рекомендациям:

• Проводить регулярные обучения рядовых сотрудников организации для повышения знаний об актуальных угрозах в области информационной безопасности.
• Рекомендовать сотрудникам не использовать личные устройства — ПК или ноутбуки — в рабочих целях.
• Определить список разрешенных для использования утилит в инфраструктуре (запрещено все, что не разрешено).
• Установить запрет рядовым пользователям самостоятельно устанавливать утилиты на рабочее устройство.
• Активировать многофакторную аутентификацию (MFA), использовать ее как часть обязательной корпоративной IT-политики.
• Проводить мониторинг фактов компрометации учетных записей корпоративных пользователей, их публикации на дарквеб-площадках, продажи в андеграундных магазинах, а также появления в слитых базах данных. Подобную информацию можно получить в F.A.C.C.T. Threat Intelligence — платформе для проактивного анализа киберугроз.
• Использовать для защиты инфраструктуры комплексный подход, защищающий от различных векторов атак. Такую защиту могут обеспечить решения класса XDR, например, F.A.C.C.T. Managed XDR – решение, предназначенное для выявления сложных киберугроз на ранней стадии, а также осуществления превентивных мер защиты.