В начале 2017 года исследователи «Лаборатории Касперского» рассказали о вредоносной кампании TwoBee, названной «в честь» основной троянской программы злоумышленников — Trojan-Banker.Win32.TwoBee.gen. Как оказалось, в наши дни по-прежнему можно присвоить чужой денежный перевод, просто отредактировав текстовый файл при помощи малвари. И не один раз, а проделать такой трюк с целым рядом серьезных организаций.
Характерной особенностью TwoBee была подмена реквизитов получателя денежного перевода в файле 1c_to_kl.txt, создаваемом бухгалтерской системой. Теперь исследователи компании представили новый отчет, в котором пишут, что банкер TwoBee был не первой подобной малварью и, как показала практика, далеко не последней.
Эксперты рассказывают, что метод подмены реквизитов активно использовали вредоносы Buhtrap и Fibbit. И если Buhtrap получил широкую известность в 2014 году, то первые версии Fibbit были замечены тремя годами ранее. В июне 2016 исследователи обнаружили один из модулей трояна, который назывался taz, tazsb или tazjp и действовал по схеме, очень похожей на TwoBee.
Кроме того, в 2015 году параллельно с Fibbit использовался и троян Trojan-Banker.Win32.RTM. Специалисты заметили, что один из его модулей (1c_2_kl), также использовался для слежения за файлом 1c_to_kl.txt, отправлял сформированную «платежку» на сервер, но при этом ничего с ней не делал. Предположительно, на тот момент модуль еще находился в разработке. В 2017 году он наконец получил полноценное обновление (1c_2_kl_r), которое сами авторы, судя по всему, называют Arnold. В классификации «Лаборатории Касперского» малварь получила идентификатор Trojan-Banker.Win32.Ronald.
Хотя изначально Arnold должен был просто заменить модуль подмены «платежек», в итоге из него получился самостоятельно функционирующий бот, состоящий из загрузчика и нескольких небольших библиотек. Загрузчик инжектируется в процесс explorer.exe, с помощью алгоритма AES и ключа 01234567890123456789012345678901 расшифровывает библиотеки, после чего вызывает в них экспортируемую функцию init.
В отличии от банкера TwoBee, активно использовавшего протокол UDP для общения с управляющим сервером, Arnold работает посредством HTTP. Как только бот устанавливает соединение с командным центром, он запрашивает конфигурационный файл, содержащий набор правил, по которым будет происходить замена в «платежке». Ответ сервера зашифрован алгоритмом AES, но ключ, в отличие от загрузчика, вычисляется как sha256 от имени сервера (sha256(‘arnoldfreeteacher.com’ == ‘\xb0\x3f\x99\x53\xa3\x92\xc1\x3a\x70\x76\xf8\xc9\xaa\xce\x2c\xaf\x5e\x7d\xb5\x2c\xc0\x18\x61\x55\x56\x61\x54\x86\x49\x68\xf5\xa8»). В последних четырех байтах расшифрованного ответа хранится размер данных без учета выравнивания.
Основная библиотека бота (replacement.dll) отвечает за работу с файлом 1c_to_kl.txt и вносит в него изменения. Но если TwoBee просто искал на компьютере файлы с определенным именем, то Arnold получает путь к нужному файлу в результате перехвата API функций CreateFileA и CreateFileW в процессах chrome.exe, firefox.exe, javaw.exe, jp2launcher.exe, cbmain.ex, iexplore.exe, _cbank.exe, clbank.exe. Причем для Arnold имя файла не имеет значения, главное — наличие подстроки «.txt» в полном пути к файлу. Если содержимое открытого файла удовлетворяет необходимым условиям, троян создаст его копию в директории %TEMP%, заменит реквизиты и «вернет» обратно.
Исследователи заключают, что, несмотря на сходство с TwoBee, Arnold имеет больше общего с малварью Fibbit. Специалисты полагают, что обоими вредоносами может управлять одна преступная группа. В ближайшем будущем специалисты прогнозируют активное развитие Arnold, в том числе и заимствование части функций модульного трояна Fibbit.
В качестве временного решения для защиты от текущей версии малвари пользователям учетных систем рекомендуется использовать имя файла экспорта платежных поручений, в имени или расширении которого отсутствует сочетание «.txt».
Фото: "Лаборатория Каспеского", Depositphotos
