В сентябре 2017 года специалисты компании ESET предупреждали о вредоносной кампании по распространению шпионской программы FinFisher (FinSpy). Обнаруженная аналитиками операция производилась в семи странах мира, причем в двух из них в распространении FinFisher мог участвовать крупный интернет-провайдер. 21 сентября, в день публикации отчета ESET, кампания была приостановлена.

Напомню, что спайварь FinFisher, так же известная как FinSpy, была создана много лет назад компанией Gamma Group International (Мюнхен, Германия), а ее продажей занимается дочерняя компания Gamma Group в Великобритании. В основном FinFisher распространяется среди правительственных агентств и правоохранительных органов разных стран, но Gamma Group неоднократно ловили на продаже своих решений странам с диктаторскими режимами, так что ИБ-эксперты давно рассматривают это ПО как обычную и весьма опасную малварь.

Теперь специалисты ESET рассказали, что 8 октября 2017 года в одной из двух стран, где в распространении FinFisher подозревался интернет-провайдер, стартовала идентичная операция, использующая ту же самую необычную схему переадресации веб-браузеров. Но теперь вместо FinFisher распространяется новое шпионское ПО – Win32/StrongPity2. В ESET изучили вредоносную программу и обнаружили сходство со спайварью, которую в прошлом предположительно применяла хакерская группировка StrongPity.

Первое сходство – это сам сценарий атаки. Пользователь, который пытается загрузить легитимное ПО, перенаправляется на поддельный сайт, с которого загружается зараженная StrongPity2 версия нужной программы. В ходе исследования специалисты ESET обнаружили зараженные версии такого ПО, как  CCleaner, Driver Booster, браузера Opera, Skype, VLC Media Player, WinRAR.

Помимо этого, среди общих черт StrongPity и новой StrongPity2 были отмечены идентичные фрагменты кода, структура конфигурационных файлов, необычный алгоритм шифрования (Byte ^= ((Byte & 0xF0) >> 4), старая версия libcurl 7.45 и способ эксфильтрации файлов.

Конфигурационные файлы. Вверху StrongPity, внизу StrongPity2

Также в StrongPity2 предусмотрена возможность кражи файлов. Под прицелом оказались документы с расширениями .ppt, .pptx, .xls, .xlsx, .txt, .doc, .docx, .pdf, .rtf. Кроме того, малварь может загружать другое вредоносное ПО и выполнять его с привилегиями скомпрометированной учетной записи.

Сообщается, что с 8 октября 2017 года системы телеметрии ESET зафиксировали больше ста попыток атак с использованием StrongPity2.



5 комментариев

  1. lostpassword

    13.12.2017 at 12:25

    А список затронутых страны ESET так и не объявила?

  2. Gank@sters

    13.12.2017 at 16:58

    Чтобы проверить систему на предмет заражения Win32/StrongPity2, используйте бесплатный ESET Online Scanner.
    Обнаружив Win32/StrongPity2, сканер удалит его.
    Систему можно проверить вручную. Для этого нужно проверить наличие/отсутствие папки %temp%\lang_be29c9f3-83we,
    которую вредоносная программа создает для хранения своих компонентов, основной из которых – файл wmpsvn32.exe.
    Еще один индикатор заражения, который легко проверить, – строковой параметр реестра, расположенный в
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run, под названием Help Manager со значением %temp% \lang_be29c9f3-83we\wmpsvn32.exe
    в поле данных.

    Для очистки зараженной системы вручную нужно выполнить следующие действия:
    Устранить основной процесс компонента wmpsvn32.exe
    Удалить папку %temp%\lang_be29c9f3-83we и все ее содержимое
    Удалить значение Help Manager в упомянутой записи реестра

Оставить мнение