Підроблений торговий сайт встановлює шкідливе ПЗ, що захоплює браузери

Ruslan Mikhalov Керівник досліджень загроз у SOC Prime

Стежити

Підроблений торговий сайт встановлює шкідливе ПЗ, що захоплює браузери

Detection stack

AIDR
Alert
ETL
Query

Звіт про загрози
Потік атаки
Виявлення
Симуляції

Резюме

Шахрайський веб-сайт, що рекламує торгового помічника на базі ШІ, використовується для поширення інфостілера Needle Stealer. Ланцюг зараження ґрунтується на викраданні DLL і підміні процесів для введення шкідливого ПЗ у RegAsm.exe, що допомагає йому зливатися з легітимною системною активністю. Коли стілер активний, він збирає дані браузера, націлюється на інформацію про криптовалютні гаманці, а також може розгортати шкідливі розширення браузера для глибшого ущільнення компрометації. Зв’язок з інфраструктурою, контрольованою зловмисниками, здійснюється за допомогою кількох HTTP API точок.

Розслідування

Дослідники простежили шлях інфікування до ZIP-архіву, завантаженого з tradingclaw.pro, який містив завантажувач DLL під назвою iviewers.dll. Цей завантажувач скинув DLL другої стадії, який підмінив RegAsm.exe та запустив Needle Stealer на базі Golang. Подальший аналіз показав, що стілер вилучив приховані ZIP-архіви, які містять шкідливі розширення браузера разом із конфігураційним файлом, що визначав його командно-контрольні сервери.

Запобігання

Користувачам слід уникати завантаження програмного забезпечення з ненадійних сайтів та завжди перевіряти підписи видавців перед запуском будь-якого інсталятора. Командам безпеки варто регулярно перевіряти встановлені розширення браузера та видаляти ті, що видаються неавторизованими або підозрілими. Слід налаштувати моніторинг мережі для виявлення трафіку на відомі шкідливі домени та IP-адреси, пов’язані з кампанією. Інструменти захисту кінцевого пункту мають бути налаштовані на виявлення поведінки викрадення DLL та технік підміни процесів.

Відповідь

Захисникам варто переглянути телеметрію кінцевих точок на предмет виконання iviewers.dll та ознак ін’єкції у RegAsm.exe. Визначені командно-контрольні домени та IP-адреси слід заблокувати на рівні брандмауера або проксі. Командам безпеки слід ізолювати файли, що відповідають звітним хешам або назвам файлів, видалити підозрілі розширення з %LOCALAPPDATA%PackagesExtensions, та скинути облікові записи, пов’язані з компрометованими обліковими записами. Також потрібно перевірити можливі компрометовані криптовалютні гаманці на наявність несанкціонованих дій.

"graph TB %% Class definitions classDef action fill:#99ccff classDef malware fill:#ff9999 classDef process fill:#ccccff %% Nodes step_a["Дія – T1659 Впровадження контенту Користувач відвідує зловмисний сайт TradingClaw, щоб отримати шкідливий контент. Опис: Зловмисники впроваджують шкідливий контент у легітимний веб-сайт для доставки корисного навантаження."] class step_a action step_b["Дія – T1204.001 Шкідливе посилання Користувач клікає та завантажує шкідливий архів ZIP. Опис: Користувача обманом заохочують до натискання на шкідливе посилання, яке призводить до завантаження викрадача облікових даних або іншого корисного навантаження."] class step_b action step_c["Дія – декілька технік Mаскування T1036.001: iviewers.dll імітує легітимний файл. Підрив довірчих контролерів T1553.002: обходити довіру шляхом викрадення DLL. Виконання міфічного проксі-бінарного коду T1218: використання системного бінарного коду для виконання. Використання довірених утиліт від розробників T1127: зловживання довіреними утилітами. Відображення завантаження коду T1620: завантаження коду без доступу до диска. Опис: викрадення DLL через iviewers.dll для виконання шкідливого коду."] class step_c action step_d["Впровадження процесу – T1055.012 Порожнистий процес Шкідливий код, впроваджений в процес RegAsm.exe. Опис: Зловмисник створює порожнистий процес і вставляє шкідливий корисний навантаження."] class step_d process step_e["Шкідливе ПЗ – ядро Needle Stealer Збирає дані жертви після виконання."] class step_e malware step_f["Доступ до облікових даних – T1115 Дані буфера обміну Збирає вміст буфера обміну. Опис: Захоплення даних, скопійованих у буфер обміну, таких як паролі."] class step_f action step_g["Захоплення вводу – T1056 Захоплення вводу Захоплює введення форми. Опис: Запис клавішеї або полів форми для викрадення облікових даних."] class step_g action step_h["Доступ до облікових даних – кілька технік Відкриття інформації про браузер T1217: Проводить інвентаризацію встановлених браузерів. Облікові дані з веб-браузерів T1555.003: Витяговані збережені паролі. Сесійні кукі веб-сайту T1550.004: Читає сесійні кукі. Викрадення веб-сесійного кукі T1539: Експортує кукі. Підробка облікових даних веб-сайту T1606: Створює підроблені облікові дані. Опис: Викрадає дані браузера, облікові дані і кукі."] class step_h action step_i["Збереження – T1176 Програмні розширення Встановлює шкідливе розширення браузера. Опис: Розширення триває у браузері та може змінювати трафік."] class step_i action step_j["Дія – Розширення маніпулює трафіком Перенаправляє запити, замінює завантаження, вводить скрипти."] class step_j action step_k["Командування та контроль – кілька технік Кодування даних T1132.001: Кодує дані перед ексфільтрацією. Витік через C2 канал T1041: Відправляє дані через C2. Опис: Передає викрадені дані на віддалений сервер."] class step_k action %% Connections step_a –>|веде до| step_b step_b –>|веде до| step_c step_c –>|веде до| step_d step_d –>|веде до| step_e step_e –>|збирає| step_f step_e –>|збирає| step_g step_e –>|збирає| step_h step_e –>|встановлює| step_i step_i –>|дозволяє| step_j step_j –>|поширює| step_k "

Потік атаки

Наратив атаки та команди:
Супротивник, який отримав шкідливе ПЗ Needle Stealer, хостить його на зловмисному домені tradingclaw.pro. Зловмисник переконує жертву відкрити шкідливе посилання (наприклад, через фішинговий емейл). Браузер жертви подає HTTP GET-запит на http://tradingclaw.pro/stealer.exe, що фіксується логами проксі. Оскільки URL містить точний рядок tradingclaw.pro, умова Sigma правило (url|contains) оцінюється як істинна, генеруючи попередження.

Щоб відтворити це в тестовому середовищі, ми виконуємо прямий запит curl на зловмисний домен. Запит складений так, щоб виглядати як типовий користувацький трафік (стандартний User-Agent, без особливих заголовків), щоб лише збіг доменів активував попередження.

Скрипт тестування регресії:

#!/usr/bin/env bash
# ------------------------------------------------------------
# Симуляція шкідливого доступу для активації правила "Malicious TradingClaw".
# ------------------------------------------------------------

set -euo pipefail

# Визначте шкідливі URL (точні рядки, використовувані правилом)
MALICIOUS_URLS=(
    "http://tradingclaw.pro/stealer.exe"
    "https://studypages.com/download/needle.exe"
)

for url in "${MALICIOUS_URLS[@]}"; do
    echo "[*] Запитуємо ${url}"
    # Використовуйте реалістичний user-agent для імітації браузера
    curl -A "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, як Gecko) Chrome/124.0 Safari/537.36" 
         -s -o /dev/null "${url}"
done

echo "[+] Симуляція завершена."

Команди очищення:

# Постійні артефакти не створюються запитами curl.
# Очистіть кеш DNS, щоб уникнути випадкового повторного використання домену в подальших тестах.
if command -v ipconfig >/dev/null 2>&1; then
    ipconfig /flushdns
elif command -v systemd-resolve >/dev/null 2>&1; then
    systemd-resolve --flush-caches
fi
echo "[+] Очищення завершено."

Кінець звіту

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам розпочати та отримати негайну цінність, забронюйте зустріч зараз з експертами SOC Prime.

Приєднатися безкоштовно