В сентябре текущего года с целью анализа и дальнейшего устранения в сетях государственных органов инцидента ИБ в Национальную службу реагирования на компьютерные инциденты АО «Государственная техническая служба» (Служба KZ—CERT) поступила информация от одной из казахстанских компаний о файле с Agent Tesla иDarkTortilla, которые в связке представляют инфостилер.

По информации компании, файл, в котором были найдены электронные адреса казахстанцев (рисунок 1), хакеры использовали для шпионских целей.

Специалистами Службы KZ CERT поступивший файл был проанализирован и воссоздан алгоритм действий инфостилера. Таким образом выяснилось, что злоумышленник отправлял файл в адрес пользователя, а после открытия файла запускался инфостилер, который собирал конфиденциальную информацию с компьютера, в том числе, адреса сайтов с логинами и паролями. Параллельно инфостилер каждые 20 мин делал скриншоты и отслеживал нажатие клавиш пользователей согласно прописанным запросам злоумышленника.

Рис 1

Рис 2

После получения детектированного образца стало известно название файла: «Новый запрос на заказ №_41869009.exe» и оригинальное имя: oasaesasaaa.exe (Рис 2).

AGENT TESLA И DARKTORTILLA

В мире киберпреступности с каждым днём увеличивается число инструментов, которые используют хакеры. В данном случае мы раскроем тактику одного из самых сложных киберугроз настоящего времени — DarkTortilla.

Немного предыстории оDarkTortilla. Это универсальный инструмент для киберпреступников, он базируется на .NET и обладает настройками, связанными с группировкой RATs Crew. Кроме того, возможно сходство с вредоносом Gameloader.

Agent Tesla, который был использован в связке с DarkTortilla, представляет собой инфостилер, способный красть личные данные из веб-браузеров, почтовых клиентов и FTP-серверов: пароли, ключи и другие конфиденциальные данные. Последние версии Agent Tesla также способны добывать личные данные из VPN-клиентов.

Рис 3

АНАЛИЗ КОДА И ВАЖНЫЕ ОСОБЕННОСТИ DARKTORTILLA

DarkTortilla использует метод стеганографии для сокрытия своей конфигурации. В данном случае конфигурация образца хранится в 14 файлах (изображения).

*Стеганография— это техника сокрытия информации внутри изображений или других медиафайлов так, чтобы эта информация оставалась невидимой для обычного визуального анализа.

DarkTortilla использует технику анти-анализа, чтобы обойти попытки анализа и обнаружения вредоносного кода. Точнее, он проверяет равенство имени файла с «ystem32» и текущей папки с «scan». Если оба эти условия действительны, то выполнение программы преждевременно завершается. Этот механизм представляет собой часть обфускации и самозащиты DarkTortilla. Обнаружение «system32» и «scan» может свидетельствовать о попытке анализа или динамической декомпиляции кода. В случае обнаружения таких условий вредоносное ПО прекращает свою работу, что затрудняет его анализ и исследование. Это один из способов, которыми DarkTortilla обеспечивает свою стойкость и «спрятанность» в системе.

DarkTortilla копирует себя в папку %appdata%\\случайное_имя\\случайное_имя после заражения системы.

Это одна из тактик, которые вредоносные программы могут использовать для обеспечения долгосрочного пребывания в системе.

Для расшифровки полезной нагрузки DarkTortilla использует функцию Qb63() с алгоритмом XOR.

ПОЛЕЗНАЯ НАГРУЗКА (PAYLOADS)

На следующем этапе DarkTortilla представляет расшифрованную полезную нагрузку. Проверяет доступность сети, используя функцию InternetGetConnectedState, и, в случае отсутствия сети, завершает выполнение. Образец также получает IP-адрес текущего компьютера с использованием сервиса api[.]ipify[.]org.

Инфостилер также включает в себя функционал кейлоггера для отслеживания нажатий клавиш с помощью функции SetWindowsHookEx(). Его основная задача — эксфильтрация конфиденциальных данных, таких как пароли, ключи и настройки пользовательских программ, включая браузеры, почтовые клиенты, VPN и FTP-клиенты и многое другое. Более того, образец регулярно создает скриншоты экрана с использованием функции Graphics.CopyFromScreen() с интервалом в 20 минут.

ЭКСФИЛЬТРАЦИЯ ДАННЫХ

Все собранные конфиденциальные данные передаются с использованием протокола SMTP. Образуется электронное письмо, в котором отправителем указан «Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра.», а получателем — «Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра.». Для доступа к аккаунту используется пароль: cooldown2013@@. Для отправки используется почтовый сервер: premium185.web-hosting.com. Письмо отправляется в виде HTML-вложения с именем в формате yyyy_MM_dd_HH_mm_ss.html.

Рис 4

ОСНОВНОЙ ФУНКЦИОНАЛ

Основными задачами DarkTortilla являются сбор конфиденциальных данных из пользовательских программ, ведение кейлоггера, профилирование системы и создание скриншотов экрана. Этот многогранный инструмент способен оставаться невидимым в системе, а также обеспечивать непрерывный сбор и передачу конфиденциальных данных киберпреступникам.

Исходя из анализа, специалисты Службы KZ CERT сообщают, что DarkTortilla и его связанный софтAgent Tesla представляют серьёзную угрозу для безопасности данных и личной информации.

Службой KZ CERT в адрес казахстанских пользователей, подвергнувшихся атаке, направлены рекомендации и уведомления по кибергигиене.

Настоятельно рекомендуем использовать сложные пароли и не открывать подозрительные файлы, а также принять общие меры по кибербезопасности для защиты систем от подобных киберугроз.

Если вы столкнулись с инцидентом информационной безопасности, сообщайте нам по бесплатному номеру 1400 (круглосуточно), по ссылке на telegram-бот @KZ_CERT_chat_bot или на email: Этот адрес электронной почты защищён от спам-ботов. У вас должен быть включен JavaScript для просмотра.