20/04/23
В середине марта злоумышленники выкладывали на видеохостинг YouTube инструкции по взлому популярного программного обеспечения по типу Photoshop, Premiere Pro, 3ds Max и AutoCAD, сопровождая ролики вредоносными ссылками.
Исследователи кибербезопасности Morphisec рассмотрели ту же кампанию более подробно и описали принцип действия вредоносного загрузчика под названием «in2al5d p3in4er» (читается «invalid printer»). Загрузчик используется злоумышленниками для доставки инфостилера Aurora, программы для кражи информации на базе языка Go, которая появилась в дикой природе (ITW) в конце 2022 года.
Загрузчик, проанализированный компанией Morphisec, использует удивительно простую, но высокоэффективную технику уклонения. Он запрашивает идентификатор поставщика видеокарты, установленной в компьютере, а затем сравнивает этот идентификатор с белым списком. В частности, с видеокартами NVIDIA, AMD и Intel. Если идентификатор поставщика не соответствует значениям из белого списка, загрузчик выдает себя за безопасное приложение и завершает работу.
В ином случае in2al5d p3in4er расшифровывает конечную полезную нагрузку и вводит её в законный процесс «sihost.exe» методом Process Hollowing. В качестве альтернативы, некоторые экземпляры загрузчиков также используют место в выделенной памяти для записи расшифрованной полезной нагрузки и последующего её вызова уже оттуда.
Другим важным аспектом загрузчика является использование Embarcadero RAD Studio для компиляции, что также позволяет in2al5d p3in4er избежать обнаружения. Ещё данный загрузчик умеет обходить «песочницы» и виртуальные машины.
Судя по всему, злоумышленники, стоящие за данным загрузчиком, до сих пор весьма успешно эксплуатируют методы социальной инженерии, потому что вредоносные ролики всё ещё доступны на YouTube. А поскольку даже VirusTotal зачастую не признаёт в in2al5d p3in4er угрозу, единственно верным методом защиты от вредоноса является полный отказ от загрузки взломанного программного обеспечения. Либо же, как недавно сказал Дмитрий Анатольевич Медведев: «Ищите правильных пиратов и скачивайте у них».
