Сделано с ИИ: аналитики F6 поймали зловред, мимикрирующий под установщик браузера Opera_GX
Архив под названием «Изделие-44 ДСП.rar» обнаружили аналитики F6 на одной из открытых онлайн-песочниц. В архиве содержится .hta файл, который запускает скачивание опасного ПО с удаленного хоста, а затем сохраняет на компьютере.
Специалисты F6 Threat Intelligence обнаружили архив со зловредом. Детальный анализ опасного архива показал, что вредоносный код был написан с помощью ИИ. На это указали такие признаки как простота кода, его подробное комментирование, форматирование и отсутствие грамматических ошибок, следует из публикации в блоге F6.
Вредоносный архив под названием «Изделие-44 ДСП.rar» (MD5: d3b6c14b4bbad6fd72881ff6b88a0de4) нашли на одной из публичных онлайн-песочниц. Внутри содержался одноименный файл формата .hta. Его запуск вызывал цепочку заражения — от HTA-загрузчика к .exe загрузчику\инжектору, а затем к полезной нагрузке DarkTrack RAT.
При запуске hta-файла происходила загрузка файла 1.exe с удаленного хоста. Затем файл сохраняется под именем tcpview.exe, после чего запускается. Чтобы закрепиться в системе, зловред создает ярлык этого файла в папке автозагрузки. Tcpview.exe является исполняемым файлом .NET, который мимикрирует под установщик браузера Opera_GX.
Специалисты F6 классифицировали данный файл как загрузчик\инжектор PureCrypter, который содержит в ресурсах изображение Zsiik.jpg. Изображение весит 32 Мб, почти весь размер картинки — оверлей. Как предполагают аналитики, оно используется только в качестве способа обойти средства защиты за счет увеличения размера файла.
Когда файл исполняется, он дешифрует и запускает в памяти сохраненный в ресурсах файл с именем. именем Efrhk путем использования алгоритма дешифрования RC2. Полезную нагрузку классифицировали как DarkTrack RAT, она же запускает дочерний процесс — notepad.exe, и может внедрять в него собственный код. Также при анализе извлекли версию RAT — 4.1 Alien+.
