Изследователи по киберсигурност сигнализираха за нова многоетапна верига за доставяне на зловреден софтуер, която използва социално инженерство и страници в Blogger, за да достави крадец на информация (инфостийлър), наречен PureLogs.
Активността е наречена VEIL#DROP от Securonix. Подозира се, че първоначалните полезни товари се разпространяват или чрез целеви фишинг (spear-phishing), или чрез компрометиране при преминаване (drive-by compromise), което се случва, когато нищо неподозиращ потребител попадне на уебсайт (легитимен или не) под контрола на нападателя.
Инфекциозната верига започва с подвеждащо наименуван JavaScript файл, маскиран като документ (напр. transcript.pdf.js), който се изпълнява чрез Windows Script Host и стартира PowerShell с активирано заобикаляне на политиките за изпълнение.
На високо ниво PowerShell скриптът е отговорен за извличането на полезен товар от следващ етап, хостван в Blogger (htlwub00klocate.blogspot[.]com). Това позволява на нападателите да заобиколят защитите, базирани на репутация, като злоупотребяват с доверената инфраструктура на Google и се сливат с легитимната уеб активност.
Изтегленият полезен товар на PowerShell зарежда легитимна уеб страница като Google, за да създаде впечатление, че е отворен PDF документ, докато последователността на инфекцията продължава безшумно във фонов режим, водеща до внедряването на PureLogs Stealer — базиран на .NET инфостийлър, известен с извличането на широк спектър от чувствителни данни от компрометирани хостове.
Зареждачът на PowerShell също така се опитва да осигури неограничено изпълнение на последващи команди, да прекрати избрани процеси като wscript.exe за намаляване на криминалистичните следи, да изтрие първоначалния файл, за да елиминира доказателствата, и да декриптира вградения полезен товар чрез XOR операция.
След успешно XOR декриптиране, зареждачът преминава към един от най-укриващите се компоненти: динамично генериране на етапи, комбинирано с мутация по време на изпълнение. Вместо статични индикатори, зловредният софтуер изгражда уникален URL адрес в blogspot[.]com за всяко изпълнение, като вмъква произволен брой наклонени черти ("/"), заобикаляйки филтрирането.
Декодираният скрипт въвежда полиморфизъм, като заменя запълващите стойности с произволно генерирани низове по време на изпълнение. Реконструираният скрипт се изпълнява изцяло в паметта (fileless) чрез рефлективно зареждане на код. Ако средата попречи на това, той има резервен метод, разчитащ на подписани от Microsoft инструменти (LOLBins) катоregsvcs.exe, installutil.exe, msbuild.exe и aspnet_compiler.exe в каскаден модел.Въздействието на инфекция с инфостийлър обикновено надхвърля първоначално компрометираната крайна точка, тъй като събраните данни могат да послужат за по-дълбоко проникване в целевата среда, странично движение и дори компрометиране на облачната инфраструктура на организацията.