Утилита Narrator — Windows Utility Trojanized для получения полного контроля над системой

Подозреваемая китайская группа современных постоянных угроз (APT) была замечена в атаке на технологические компании с помощью троянизированного приложения для чтения с экрана, заменившего встроенный диктор «Легкость доступа» в Windows.

По данным BlackBerry Cylance, злоумышленники также используют открытую версию вредоносного ПО, известную как бэкдор PcShare, чтобы завоевать первые позиции в системах жертв.

Используя эти два инструмента, злоумышленники могут тайно управлять машинами Windows с помощью экранов удаленного входа на рабочий стол, без необходимости ввода учетных данных.

PcShare Backdoor

Нападения начинаются с предоставления жертвам «черного хода» PcShare с помощью кампаний подводного плавания. Он был модифицирован и разработан для работы при боковой загрузке законным приложением NVIDIA.

Он «специально разработан для нужд кампании, с дополнительными функциями командно-контрольного (C2) шифрования и обхода прокси, а также любой неиспользуемой функциональностью, удаленной из кода», пояснили исследователи BlackBerry Cylance в своем анализе, опубликованном в среду. Неиспользуемая функциональность включает потоковую передачу аудио/видео и мониторинг клавиатуры, что позволяет предположить, что она строго используется для установки других вредоносных программ.

Интересно, что он поставляется с погрузчиком на заказ, который использует вышеупомянутую технологию боковой загрузки DLL.

«DLL загружена законным приложением NVIDIA Smart Maximise Helper Host (часть графического драйвера NVIDIA GPU) вместо оригинальной NvSmartMax.dll, которая обычно используется программой», — сказал представитель фирмы. «Его основная обязанность — расшифровка и загрузка закодированной полезной нагрузки, хранящейся либо в разделе .data, либо в отдельном файле DAT.»

Использование PcShare легитимного приложения позволяет атаке получить дополнительный уровень секретности, говорят исследователи.

«Использование технологии боковой загрузки DLL вместе с специально разработанным погрузчиком, использующим впрыск памяти, гарантирует, что основной двоичный файл бэкдора никогда не будет опущен на диск», — пояснили исследователи. «Простая, но эффективная технология кодирования полезной нагрузки, основанная на пути выполнения, также реализована, чтобы избежать обнаружения».

Кроме того, инфраструктура C2 также замаскирована; в то время как URL, на который доставляются маячки вредоносного ПО в виде простого текста, адрес фактически указывает на удаленный файл, содержащий фактическую информацию о том, как взаимодействовать с C2.

«Это позволяет злоумышленникам легко изменять предпочитаемый адрес C2, определять время соединения и — с помощью фильтрации на стороне сервера — ограничивать раскрытие реального адреса запросами, поступающими из определенных регионов или в определенное время», — говорят исследователи.

После получения доступа к машине жертвы злоумышленники затем развертывают ряд инструментов после эксплуатации, многие из которых основаны на общедоступном коде, часто встречающемся на китайских порталах программирования, сообщают исследователи. Одним из них является специально разработанный троянец Fake Narrator, который злоупотребляет функциями Microsoft Accessibility Features для получения доступа на уровне SYSTEM на взломанной машине.

Злоупотребление диктором
После того, как злоумышленники получат административные привилегии в системе жертвы, следующий приказ — заменить файл Narrator.exe на троянизированную версию, которая даст злоумышленнику возможность запускать любую программу с системными привилегиями.

Исполняемый файл диктора представляет собой утилиту Windows, которая читает текст на экране вслух для слабовидящих людей. Его можно вызвать на экране входа с помощью сочетания клавиш, которое обеспечивает постоянный доступ на системном уровне.

Как только фальшивый диктор будет включен на экране входа через «Легкий доступ», вредоносное ПО будет выполняться winlogon.exe с правами SYSTEM», — пояснили исследователи.

После запуска троянизированного фальшивого диктора сначала запустится оригинальный легитимный диктор, затем зарегистрируется класс окна («NARRATOR») и будет создано окно («диктор»).

«Процедура работы с окном создает диалог с управлением редактирования и кнопкой ‘r’, а отдельный поток постоянно отслеживает нажатия клавиш», — пояснили исследователи. «Если вредоносная программа обнаружит, что был набран определенный пароль (жестко закодированный в двоичной системе как строка ‘showmeme’), она отобразит ранее созданный диалог. Это позволит злоумышленнику указать команду или путь к файлу для выполнения с помощью элемента управления редактированием».

Ввод пароля злоумышленника позволит ему создать любой исполняемый файл, также работающий под учетной записью SYSTEM, на экране входа в систему. Исследователи объяснили, что эта технология позволяет злоумышленникам поддерживать постоянную оболочку системы без необходимости использования действительных учетных данных.

«Этот двоичный файл является довольно новым… [в том смысле, что] он порождает копию оригинального файла Narrator.exe и рисует скрытое перекрывающееся окно, где он ждет захвата определенных комбинаций клавиш, известных только злоумышленнику», — пояснили исследователи. «После ввода правильной парольной фразы злоумышленник отобразит диалог, позволяющий злоумышленнику указать путь к исполняемому файлу».

Возможности приложения: чтение переписки SMS, MMS, Вконтакте (официальное приложение и Kate Mobile), Одноклассники, Facebook, Мой Мир@mail.ru, ВСети.by, Twitter, Hangouts, Google+, WhatsApp, Skype, Viber, Hangouts (бывший Google Talk), Агент@mail.ru, ICQ, IM+ и IM+Pro, AIM, Jabber, MSN, MySpace, Yahoo! и Я.Онлайн (Яндекс Чат), Email переписку Gmail и Почта@mail.ru, просматривать посещенные сайты в браузерах Chrome, Opera, Firefox. Получить доступ к списку звонков и местонахождению телефона. Это малая часть всех возможностей. Весь список возможностей доступен тут

Видео руководство по установке для любого телефона:

Видео руководство по установке на телефон с ROOT правами:

Инструкция по установке и настройке:

  1. Заводим личный кабинет по этой ссылке: «Завести личный кабинет» (просто регистрируемся там).
  2. Заходим по этой ссылке: «Войти в личный кабинет на сайте» и вводим Email и пароль, которые указали пре регистрации.
  3. Жмем кнопку: «Добавить телефон»
  4. Заполняем все поля которые просят ввести. Заполняем правильно как там написано, иначе не будет работать.
  5. Жмем кнопку «Сохранить».
  6. Читаем инструкцию которая появилась после нажатия кнопки «Сохранить»
  7. Устанавливаем на телефон, (тот с которого нужно получить информацию) приложение, и настраиваем его согласно инструкции, которую вы должны будете прочитать на шаге 6.
  8. Приложение установлено. Все хорошо. Разработчики пишут, что надо подождать не менее часа, чтоб данные начали поступать в ваш личный кабинет который вы завели на шаге 1. В нашем случае данные пришли через 4 часа. Задуманное удалось! Желаю успехов.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *