Μια εξελιγμένη καμπάνια κακόβουλου λογισμικού backdoor έχει προκύψει που στοχεύει χρήστες των Windows μέσω μιας οπλισμένης έκδοσης του SteamCleaner, ενός νόμιμου βοηθητικού προγράμματος ανοιχτού κώδικα που έχει σχεδιαστεί για τον καθαρισμό ανεπιθύμητων αρχείων από την πλατφόρμα παιχνιδιών Steam.
Το κακόβουλο λογισμικό δημιουργεί μόνιμη πρόσβαση σε παραβιασμένα συστήματα αναπτύσσοντας κακόβουλα σενάρια Node.js που διατηρούν συνεχή επικοινωνία με διακομιστές εντολών και ελέγχου, επιτρέποντας στους εισβολείς να εκτελούν αυθαίρετες εντολές εξ αποστάσεως.
Οι φορείς απειλών έχουν οπλίσει το νόμιμο εργαλείο SteamCleaner, το οποίο δεν έχει λάβει ενημερώσεις από τον Σεπτέμβριο του 2018, εισάγοντας κακόβουλο κώδικα στην αρχική πηγή και διανέμοντάς τον μέσω δόλιων ιστότοπων που παρουσιάζονται ως παράνομα αποθετήρια λογισμικού.
Οι χρήστες που αναζητούν σπασμένο λογισμικό ή keygens ανακατευθύνονται στα αποθετήρια GitHub που φιλοξενούν το κακόβουλο λογισμικό, το οποίο παραδίδεται ως Setup.exe.
Το κακόβουλο πρόγραμμα εγκατάστασης έχει υπογραφεί με ένα έγκυρο ψηφιακό πιστοποιητικό από την Taiyuan Jiankang Technology Co., Ltd., που προσδίδει ψευδή νομιμότητα στο πακέτο των 4,66 MB και του επιτρέπει να παρακάμψει τον αρχικό έλεγχο ασφαλείας.
Κατά την εκτέλεση, το κακόβουλο λογισμικό εγκαθίσταται στον κατάλογο C:\Program Files\Steam Cleaner\, αναπτύσσοντας πολλά στοιχεία, όπως το Steam Cleaner.exe (3.472 KB), αρχεία διαμόρφωσης και δέσμες ενεργειών.
.webp.jpeg)
Ερευνητές ασφαλείας ASEC αναγνωρισθείς ότι οι εισβολείς διατήρησαν την αρχική λειτουργία SteamCleaner ενώ ενσωμάτωσαν εξελιγμένους μηχανισμούς ανίχνευσης anti-sandbox.
Το κακόβουλο λογισμικό εκτελεί εκτενείς περιβαλλοντικούς ελέγχους, όπως ανάλυση πληροφοριών συστήματος, απαρίθμηση θυρών, ερωτήματα WMI και παρακολούθηση διεργασιών.
Όταν εντοπίζεται περιβάλλον sandbox, το κακόβουλο λογισμικό εκτελεί μόνο τη νόμιμη λειτουργία καθαρισμού χωρίς να προκαλεί κακόβουλη συμπεριφορά.
Ο μηχανισμός παράδοσης ωφέλιμου φορτίου βασίζεται σε κρυπτογραφημένες εντολές PowerShell που είναι ενσωματωμένες στο κακόβουλο λογισμικό.
.webp.jpeg)
Αυτές οι εντολές ενορχηστρώνουν την εγκατάσταση του Node.js στο σύστημα του θύματος και στη συνέχεια κατεβάζουν δύο διαφορετικά κακόβουλα σενάρια από ξεχωριστή υποδομή εντολών και ελέγχου.
Και τα δύο σενάρια είναι εγγεγραμμένα στον Προγραμματιστή εργασιών των Windows για να διασφαλιστεί η επιμονή, να εκτελούνται αυτόματα κατά την εκκίνηση του συστήματος και να επαναλαμβάνονται κάθε ώρα στη συνέχεια.
Πρωτόκολλο επικοινωνίας Command-and-Control
Τα δύο σενάρια Node.js δημιουργούν αμφίδρομα κανάλια επικοινωνίας με τους αντίστοιχους διακομιστές C2 μέσω δομημένων ωφέλιμων φορτίων JSON.
Κατά τη σύνδεση στην υποδομή C2, το κακόβουλο λογισμικό μεταδίδει ολοκληρωμένα δεδομένα αναγνώρισης συστήματος, συμπεριλαμβανομένων του τύπου και της έκδοσης του λειτουργικού συστήματος, του ονόματος κεντρικού υπολογιστή, της αρχιτεκτονικής συστήματος και ενός μοναδικού αναγνωριστικού μηχανήματος που προέρχεται από το GUID της συσκευής.
Το πρώτο σενάριο, εγκατεστημένο στο C:\WCM{UUID}\UUID και εγγεγραμμένο ως Microsoft/Windows/WCM/WiFiSpeedScheduler, συνδέεται σε πολλούς τομείς C2, συμπεριλαμβανομένου του rt-guard[.]com, 4tressx[.]com, kuchiku[.]ψηφιακό και screenner[.]com.
Αυτό το σενάριο κατεβάζει αρχεία από διευθύνσεις URL που καθορίζονται από τον εισβολέα και τα εκτελεί χρησιμοποιώντας διαδικασίες CMD ή PowerShell.
Το δεύτερο σενάριο λειτουργεί από το C:\WindowsSetting{UUID}\UUID με το όνομα εργασίας Microsoft/Windows/Diagnosis/Recommended DiagnosisScheduler, επικοινωνώντας με το aginscore[.]com.
Αυτή η παραλλαγή χρησιμοποιεί πιο επιθετικές τεχνικές συσκότισης και εκτελεί εντολές απευθείας μέσω του Node[.]η εγγενής συνάρτηση εκτέλεσης φλοιού του js.
Η επικοινωνία C2 πραγματοποιείται μέσω δύο πρωταρχικών τελικών σημείων: /d για λήψη εντολών και /e για μετάδοση αποτελεσμάτων εκτέλεσης.
