Під час пошуку в Інтернеті, ми знаходимо блогера, який пропонує завантажити безкоштовне зламане програмне забезпечення. Перейдімо до наступного кроку!
Блог веде нас на сайт fpn-stp[.]ru, який перенаправляє на фреймворк, пов'язаний з розповсюдженням PrivateLoader. Цей фреймворк використовує унікальні посилання, що закінчуються через кілька хвилин, щоб ускладнити аналіз і блокувати сканування. Посилання складається з трьох частин: ймовірно, md5-хешу, 34 випадкових символів та солі в кінці.
Після авторизації через hCaptcha та перевірки User-Agent, нас зустрічає сторінка для завантаження.
Цей фреймворк, з незначними змінами в JS на клієнтській стороні, також використовувався для розповсюдження PrivateLoader на кількох інших сайтах. Після натискання кнопки DOWNLOAD відкривається нова сторінка, і завантаження файлу починається. Це ZIP-архів, автоматично створений фреймворком. Розпакувавши архів за паролем "123", ми отримуємо три файли: завантажувач, файл з паролем, що містить md5 хеш порожнього рядка, і іноді прихований файл, що є інсталятором програмного забезпечення.
Завантажувач — це інсталятор, скомпільований за допомогою Inno Setup, захищений паролем, але це не стало проблемою. Проаналізувавши EXE-файл, ми знаходимо дивну строку, яка виявляється паролем для подальшого розпакування файлів.
У розпакованому вмісті є кілька DLL-файлів і один EXE, який виглядає пошкодженим, але йому не вистачає підпису MZ. Додавши цей підпис вручну, ми отримуємо потрібний stub. Потім, надаючи потрібний аргумент CMD, запускаємо файл за інструкціями автора.
Після запуску з’являється вікно програми PayPerInst[.]com Download Assistant, яке завантажує виконувані файли або зависає. У порівнянні з попередніми версіями, зараз не завантажується Redline, а лише рекламне ПЗ, таке як Neoreklami або Snetchball. Потім здійснюється POST-запит на start7345724[.]ru, зашифрований за допомогою RC4.
Ця комунікація C2 надзвичайно схожа на ту, що використовує SOCKS5SYSTEMZ. Завантажувач ідентичний тому, що використовувався в іншій кампанії.
Хоча бібліотеки DLL у цьому випадку не є шкідливими, зловмисники постійно включають їх у свої збірки, що дозволяє досліджувати їх за допомогою VirusTotal.
Попри те, що кампанія наразі виглядає сплячою, вона може становити серйозну загрозу в будь-який момент, скомпрометувавши дані тисяч людей по всьому світу.
Перекладено з: The sleeping lion: analysis of InstallsKey related service