27/12/21
Исследователи из подразделения Division Seven компании SafeGuard Cyber обнаружили образец Echelon, опубликованный в Telegram-канале, посвященном криптовалюте. Вредоносное ПО создано для кражи учетных данных нескольких платформ обмена сообщениями и файлами, включая Discord, Microsoft Edge, FileZilla, OpenVPN, Microsoft Outlook и Telegram, а также ряда кошельков криптовалюты, включая AtomicWallet, BitcoinCore, ByteCoin, Exodus, Jaxx и Monero.
«Исходя из вредоносного ПО и способа его размещения, SafeGuard Cyber считает, что оно не было частью скоординированной кампании, а просто нацелено на новых или наивных пользователей канала», — пояснили эксперты. Злоумышленники использовали маркер Smokes Night для распространения Echelon на канале, однако неизвестно, насколько это было успешным.
По словам экспертов, пользователи канала, похоже, не заметили ничего подозрительного и не заинтересовались этим сообщением. Однако это не означает, что вредоносная программа не достигла устройств пользователей.
Злоумышленники загрузили Echelon на канал криптовалюты в файле формата .RAR с названием «present) .rar». Архив содержал три файла — безопасный текстовый документ с паролем «pass - 123.txt», библиотеку классов и набор инструментов «DotNetZip.dll» для работы с файлами .ZIP и вредоносный исполняемый файл «Present.exe».
Полезная нагрузка, написанная на языке программирования .NET, также включала несколько функций, затрудняющих обнаружение или анализ. Функции защиты от отладки немедленно завершали процесс, если обнаруживался отладчик или другие инструменты анализа вредоносных программ. Также присутствовал инструмент с открытым исходным кодом для обфускации ConfuserEx.
К другим функциям вредоносного ПО относятся отслеживание цифровых отпечатков пальцев, а также возможность сделать снимок экрана на компьютерной системе жертвы. Echelon отправляет украденные данные и снимки экрана обратно на командный сервер.
