Хакеры взяли на вооружение инструменты HackingTeam

Исследователи безопасности из компании Intezer обнаружили созданный хакерской группировкой Iron бэкдор, основанный на утекшем исходном коде инструмента Remote Control System (RCS), разработанном компанией HackingTeam.

Хакерская группировка Iron известна разработкой одноименного вымогательского ПО (созданного на основе вредоноса Maktub) и, как полагают эксперты, активна уже порядка 18 месяцев. За это время киберпреступники разработали различные вредоносные программы, включая бэкдоры, майнеры криптовалют и вымогательское ПО для операционных систем Windows, Linux и Android. На сегодняшний день считается, что группа инфицировала по меньшей мере несколько тысяч устройств. По словам исследователей безопасности, новый бэкдор оснащен защищенным VMProtect установщиком и сжат с использованием UPX.

В ходе установки бэкдор проверяет, запущен ли он на виртуальной машине, устанавливает вредоносное расширение Chrome, создает запланированную задачу, копирует себя в папку Temp, а затем проверяет версию ОС и запускается. Вредоносная программа также проверяет наличие продуктов Qhioo360 в системах и запускается только в том случае, если их не найдено.

Как сообщили исследователи, часть кода бэкдора основана на утекшем в сеть исходном коде инструмента RCS, разработанного итальянской компанией HackingTeam. В частности, киберпреступники использовали две основные функции инструмента в программах для хищения данных и вымогательском ПО. К ним относятся код обнаружения виртуальной машины, взятый непосредственно из компонента Soldier (который нацелен на Cuckoo Sandbox, продукты VMware и Oracle VirtualBox) и модуль DynamicCall из «основной» библиотеки HackingTeam (обфусцирует имя функции, затрудняя статический анализ).

Вредоносное расширение Chrome представляет собой модифицированную версию Adblock Plus, которая внедряет майнер криптовалюты в браузер, а также модуль для перехвата данных платежных карт.

Расширение постоянно работает в фоновом режиме и каждую минуту проверяет, запущен ли Chrome. Если браузер отключен, вредонос может незаметно запустить его.

Помимо этого, бэкдор устанавливает последнюю версию поисковой утилиты voidtool и использует ее для поиска различных криптовалютных кошельков. После обнаружения вредонос автоматически заменит адрес кошелька на принадлежащий злоумышленникам, чтобы в дельнейшем жертва переводила деньги на счет киберпреступников.