LEGION LOADER встановлює інфостилери і бекдор на замовлення

LEGION LOADER встановлює інфостилери і бекдор на замовлення

     Раніше невідомий дроппер доставляє на цільові пристрої широкий спектр корисного навантаження. Шкідник, що отримав назву Legion Loader, не обмежується встановленням комерційних інфостілеров, а впроваджує на Windows-комп'ютери власний скрипт для крадіжки даних кріптогаманців і RDP-бекдор.

    Фахівці компанії Deep Instinct зафіксували атаки з використанням нового завантажувача і докладно описали механізм його роботи. Експерти не повідомили, яким чином дроппер потрапляє на цільовий пристрій, проте відзначили, що кампанія з його участю спрямована на користувачів із США і Європи.

Які програми доставляє дроппер Legion

    За словами дослідників, потрапивши на комп'ютер, шкідлива програма спочатку реєструється на одному зі своїх командних серверів. Зловмисники створили більше 30 центрів управління і міняють їх від атаки до атаки, щоб уберегти від блокування. Після установки зв'язку Legion завантажує в цільову систему два або три зразка корисного навантаження, серед яких зустрічаються поширені інфостілери Raccoon, Vidar і Predator the Thief, а також інші шкідливі програми.

     На думку ІБ-фахівців, творці дроппера надають іншим зловмисникам послуги з доставки шкідливого ПЗ на цільові пристрої. Відразу після установки корисного навантаження Legion запускає PowerShell-скрипт і викачує власні шкідливі інструменти.       Один з них — безфайловий інфостілер для збору облікових даних кріптогаманців і збережених в браузерах паролів. Викрадені відомості передаються на командний сервер по захищеному каналу, за шифрування якого відповідає окрема бібліотека.

    Другий стандартний модуль являє собою бекдор, який використовує протокол RDP для комунікації з центром управління. Скрипт упакований як установник NSIS і закодований шифром на основі стандарту Base64. Так само як і вбудований інфостілер, він не залишає слідів на диску, працюючи в рамках PowerShell-оболонки. Дослідники не розкривають можливостей шкідника, а лише зазначають, що він реєструється на інфікованому пристрої як системний процес.

Вредоносное ПО, установленное Legion Loader в качестве службы

   У листопаді цього року стало відомо, що новим дроппером обзавівся викрадач інформації Agent Tesla. Установник, який представляє собою Autoit-скрипт, збирає корисне навантаження по частинах в пам'яті цільового пристрою і не залишає слідів на диску. Щоб обійти захисні фільтри, зловмисники використовували для доставки шкідника ARJ-архів, прикладений до спам-листа.

12:00
RSS
Немає коментарів. Ваш буде першим!
Завантаження...