SecAtor

Исследователи BI.ZONE сообщают об обнаружении широкомасштабной кампании, нацеленной на российские организации разных отраслей, в которой задействуется стиллер NOVA - новый форк SnakeLogger с прайсом от 50$.

В ходе наблюдаемой кампании злоумышленники распространяли NOVA в прикрепленных к фишинговым письмам архивах, маскируя под договоры (например, Договор.exe).

Примечательно, что атакующие не использовали ни двойное расширение, ни иконку, позволяющие замаскировать вредоносный файл под легитимный документ.

После запуска вредоносный файл осуществляет декодирование данных, скрытых с помощью стеганографии, из ресурсов с именем zabawa2, а затем копирует себя под другим именем в AppData\Roaming и запускает PowerShell для добавления файла в исключения Microsoft Defender.

Для закрепления в скомпрометированной системе вредоносный файл использует планировщик заданий Windows.

Далее вредоносный файл запускает себя в состоянии suspended и осуществляет внедрение расшифрованной нагрузки в собственный дочерний процесс.

Цепочка API‑вызовов выглядит следующим образом: CreateProcessInternalA (suspended) - VirtualAllocEx - WriteProcessMemory - SetThreadContext - ResumeThread.

Примечательно, что вредоносный файл содержит строки на польском языке. При этом внедряемая вредоносная нагрузка представляет собой стилер NOVA, форк другого популярного стилера - SnakeLogger.

Для получения информации об IP и стране скомпрометированной системы NOVA осуществляет запросы к веб-ресурсам checkip[.]dyndns[.]org и reallyfreegeoip[.]org.

Стилер собирает сохраненные аутентификационные данные из различных источников, фиксирует нажатия клавиш, а также делает скрины экрана и извлекает данные из буфера обмена.

Эксфильтрация реализуется по SMTP.

Также образец потенциально способен отключать Microsoft Defender, диспетчер задач, редактор реестра и командной строки.

Функции с соответствующими названиями в стиллере присутствуют, однако в них отсутствует код, необходимый для выполнения вредоносных действий.

Кроме того, обнаружена функция, которая ограничивает выполнение ВПО после определенной даты.

NOVA распространяется по модели MaaS (имеется даже свой канал в Telegram) и широко используется в киберподполье как минимум с августа 2024 года.

При этом разработчик предлагает не только стилер, но и криптор.

Стоимость стилера начинается от 50$ за месячную лицензию и доходит до 630$ за бессрочную, у криптора - от 60$ (за месяц) до 150$ (за 3 месяца).

Технические подробности и IoC - в отчете.

BI.ZONE

NOVA — хорошо забытое старое

Злоумышленники крадут данные российских компаний с помощью форка популярного стилера

www.group-telegram.com/us/true_secator.com/6689

11.2K viewsFeb 3 at 11:37

Исследователи BI.ZONE сообщают об обнаружении широкомасштабной кампании, нацеленной на российские организации разных отраслей, в которой задействуется стиллер NOVA - новый форк SnakeLogger с прайсом от 50$.

В ходе наблюдаемой кампании злоумышленники распространяли NOVA в прикрепленных к фишинговым письмам архивах, маскируя под договоры (например, Договор.exe).

Примечательно, что атакующие не использовали ни двойное расширение, ни иконку, позволяющие замаскировать вредоносный файл под легитимный документ.

После запуска вредоносный файл осуществляет декодирование данных, скрытых с помощью стеганографии, из ресурсов с именем zabawa2, а затем копирует себя под другим именем в AppData\Roaming и запускает PowerShell для добавления файла в исключения Microsoft Defender.

Для закрепления в скомпрометированной системе вредоносный файл использует планировщик заданий Windows.

Далее вредоносный файл запускает себя в состоянии suspended и осуществляет внедрение расшифрованной нагрузки в собственный дочерний процесс.

Цепочка API‑вызовов выглядит следующим образом: CreateProcessInternalA (suspended) - VirtualAllocEx - WriteProcessMemory - SetThreadContext - ResumeThread.

Примечательно, что вредоносный файл содержит строки на польском языке. При этом внедряемая вредоносная нагрузка представляет собой стилер NOVA, форк другого популярного стилера - SnakeLogger.

Для получения информации об IP и стране скомпрометированной системы NOVA осуществляет запросы к веб-ресурсам checkip[.]dyndns[.]org и reallyfreegeoip[.]org.

Стилер собирает сохраненные аутентификационные данные из различных источников, фиксирует нажатия клавиш, а также делает скрины экрана и извлекает данные из буфера обмена.

Эксфильтрация реализуется по SMTP.

Также образец потенциально способен отключать Microsoft Defender, диспетчер задач, редактор реестра и командной строки.

Функции с соответствующими названиями в стиллере присутствуют, однако в них отсутствует код, необходимый для выполнения вредоносных действий.

Кроме того, обнаружена функция, которая ограничивает выполнение ВПО после определенной даты.

NOVA распространяется по модели MaaS (имеется даже свой канал в Telegram) и широко используется в киберподполье как минимум с августа 2024 года.

При этом разработчик предлагает не только стилер, но и криптор.

Стоимость стилера начинается от 50$ за месячную лицензию и доходит до 630$ за бессрочную, у криптора - от 60$ (за месяц) до 150$ (за 3 месяца).

Технические подробности и IoC - в отчете.

BY SecAtor