В апреле текущего года эксперты «Лаборатории Касперского» зафиксировали масштабную кампанию по распространению трояна-дроппера, получившего имя Swarez. Малварь распространялась под видом 15 популярных игр, и попытки скачать подобные файлы были зафиксированы продуктами компании в 45 странах мира, в том числе в России.
Дроппер внедрялся через различные сайты, имитирующие платформы для нелегального бесплатного распространения ПО. Множество подобных сайтов, распространяют малварь под видом ключей для программ, в том числе для антивирусного ПО, фото- и видеоредакторов, а также популярных игр.
Злоумышленники использовали в качестве приманки следующие игры: Among US, Battlefield 4, Battlefield V, Control, Counter-Strike Global Offensive, FIFA 21, Fortnite, Grand Theft Auto V, Minecraft, NBA 2K21, Need for Speed Heat, PLAYERUNKNOWN'S BATTLEGROUNDS, Rust, The Sims 4, Titanfall 2. Чтобы целевые страницы попадали в верхние строки поисковой выдачи, для каждого поста использовалось множество тегов.
Дроппер распространялся в ZIP-архиве, который содержал в себе еще один запароленный файл ZIP и текстовый файл, где указан этот пароль. Запуск малвари приводил к расшифровке и активации трояна-стилера Taurus.
Так, на первом этапе заражения дроппер Swarez выполняет обфусцированный CMD-скрипт, который дешифрует легитимный интерпретатор AutoIt. Используя его, зловред выполняет скрипт AutoIt, тоже обфусцированный. Проводится несколько проверок того, что файл выполняется не в эмулированной среде, а затем полезная нагрузка дешифруется по алгоритму RC4. Полученный файл внедряется в один из системных процессов и выполняется в его контексте. Это Taurus — платный троян-стилер, разработанный хак-группой Predator, со множеством функций и возможностью настройки. Он может похищать cookie-файлы, сохраненные пароли и данные автозаполнения из браузеров, секреты для доступа к криптовалютным кошелькам, собирать информацию о системе, текстовые файлы с рабочего стола пользователя и даже делать снимки экрана. Всю эту информацию троянец отправляет на командный сервер.
«Пользователи по всему миру активно скачивают ПО из сомнительных источников, и авторы дроппера Swarez использовали это в своих интересах. Злоумышленники всё время усложняют свои техники и прикладывают все усилия, чтобы пользователь в процессе скачивания программы не заподозрил, что устанавливает зловред. Вот почему мы рекомендуем загружать ПО только с официальных сайтов разработчиков», — комментирует Антон Иванов, эксперт по кибербезопасности «Лаборатории Касперского».