Хакерите са открили хитър начин за промъкване на зловреден софтуер за кражба на данни в компютрите на жертвите, като крият следите си в доверена платформа – Google Blogspot.

Изследователи наскоро разкриха кампания, злоупотребяваща с тази блог услуга заедно с вградени инструменти на Windows за тихо инсталиране на крадец на информация, известен като PureLog Stealer.

Атаката започва с нещо привидно просто. Файл с име transcript.pdf.js изглежда като обикновен PDF на пръв поглед, но Windows се отнася към него по съвсем различен начин зад кулисите. Тъй като Windows често крие файловите разширения по подразбиране, жертвите виждат само transcript.pdf и нямат основание да подозират, че нещо не е наред.

Веднъж отворен, файлът се стартира чрез Windows Script Host и незабавно задейства PowerShell с изключени проверки за сигурност. Оттам PowerShell се свързва с контролирани от нападателите страници в Blogspot, за да изтегли следващите етапи, без да записва подозрителен файл на диска.

Изследователи от Securonix споделиха в доклад за Cyber Security News (CSN), че са идентифицирали и документирали тази рамка, като са я нарекли Veil#Drop заради начина, по който прикрива дейността си зад слоеве от кодиране и легитимно изглеждащ уеб трафик. Техният анализ проследява веригата от първото щракване до крайната кражба на пароли от браузъра и данни от портфейли за криптовалута.

Кампанията се отличава с това, че всяка стъпка изглежда съвсем обикновена. PowerShell команди, посещения на Blogspot и доверени помощни програми на Microsoft са неща, които екипите по сигурността виждат всеки ден, поради което този подход преминава толкова лесно покрай антивирусните инструменти.

Триктът започва с компрометиран уебсайт, хостващ фалшивия документ. След като жертвата щракне двукратно върху transcript.pdf.js, Windows Script Host тихо предава контрола на PowerShell, принуждавайки връзка с изцяло заобиколени проверки на правилата за изпълнение (execution policy).

След това PowerShell използва механизъм за изтегляне (download cradle), като извлича код директно от страница в Blogspot и го стартира от оперативната памет. Нищо не се записва на твърдия диск на този етап, така че много инструменти за сканиране на файлове никога не го проверяват. Изтегленият файл, наречен phud.dudus.docx.pdf.olp.sys, изтрива оригиналния JavaScript стартер, за да изтрие доказателствата, и спира фонови процеси, които биха могли да попречат по-късно. Той също така декриптира скрит полезен товар с помощта на повтарящ се XOR ключ.

Този декриптиран скрипт изгражда нов уеб адрес в Blogspot в движение, добавяйки произволни символи, така че всяка инфекция да изглежда различно. Това затруднява защитниците да блокират кампанията чрез фиксиран списък с лоши домейни.

Новоизвлеченият файл, niple.docx.odp.pdf.sys, носи два големи блока от кодирани числови данни. Те се декодират в работещи .NET програми, заредени директно в паметта чрез рефлекция (reflection), което означава, че нито един изпълним файл не докосва диска. Ако този подход се провали, зловредният софтуер се връща към доверени, подписани от Microsoft инструменти като InstallUtil, MSBuild, RegSvcs и C# компилатора, сливайки се с дейността, която софтуерът за сигурност обикновено игнорира.

След като се активира, PureLog Stealer събира всякакви ценни данни, които може да намери, включително запазени пароли в браузъра, бисквитки, записи за автоматично попълване, история на сърфирането и подробности за портфейли за криптовалута. Крадецът също така събира информация за инфектираната система, предоставяйки на атакуващите по-ясна представа какво са компрометирали.

Тъй като веригата работи изцяло в паметта, стандартните антивирусни сканирания лесно могат да я пропуснат. Екипите по сигурността е по-добре да наблюдават поведението на системата, като например опити на PowerShell да осъществява връзка с Blogspot или да стартира инструменти, които обикновено не би трябвало да докосва.

Изследователите препоръчват ограничаване на скриптовете, които Windows Script Host може да изпълнява, особено когато няма реална бизнес необходимост. Включването на логване за PowerShell и наблюдението за опити за заобикаляне на правилата за сигурност може да улови тази дейност рано. Наблюдението на изходящите връзки към доверени облачни платформи за необичайни модели, вместо да се разчита само на репутацията на домейна, дава на защитниците по-добър шанс да забележат тази злоупотреба.