الباحث: أنانديشوار أونيكريشنان
المحررون: سوشيتا كاتيرا وهانسيكا ساكسينا

برنامج سرقة المعلومات هو برنامج ضار (برنامج ضار) يسعى إلى سرقة البيانات الخاصة من جهاز مخترق، بما في ذلك كلمات المرور وملفات تعريف الارتباط ومعلومات الملء التلقائي من المتصفحات ومعلومات محفظة العملة المشفرة.

منذ بداية عام 2019، تم تقديم برامج Raccoon الضارة كخدمة في العديد من منتديات الجرائم الإلكترونية. ومع ذلك، تم حل مجموعة Raccoon Stealer في مارس 2022 نتيجة لوفاة أحد كبار مطوريها في الحرب الأوكرانية الروسية.

في يونيو 2022، تم تحديد نسخة جديدة من سارق الراكون في البرية من قبل الباحثين في سيكويا. في البداية، تم تسمية البرنامج الضار»محطّم الأرقام القياسية«ولكن تم تحديده لاحقًا كنسخة تم إحياؤها من Raccoon Stealer. مطور Raccoon Stealer (MaaS) نشط جدًا في المنتديات السرية، ويقوم بتحديث البرامج الضارة بانتظام، وينشر حول الميزات الجديدة التي تم إنشاؤها في المنتدى.

Post describing the technical details of recent samples and modifications made in the Raccoon Stealer — منشور يصف التفاصيل الفنية للعينات الحديثة والتعديلات التي تم إجراؤها في Raccoon Stealer

البرامج الضارة

تم رصد عينات الراكون في البرية في مناسبات عديدة. في حين أن بعضها كان محميًا بواسطة أدوات حماية الرموز التجارية مثل VMProtect و Themida، فقد شوهد البعض الآخر معبأ في أدوات تعبئة مجتمعية شهيرة مثل Armadillo.

كلاود سيككان القياس عن بُعد قادرًا على التقاط عينة راكون مثيرة جدًا للاهتمام استخدمت تقنيات فعالة جدًا لمكافحة التحليل ومكافحة تصحيح الأخطاء لإحباط محاولات التحليل. تعتبر العينة التي يغطيها هذا التقرير فريدة من نوعها من حيث نشر البرامج الضارة.

نشر البرامج الضارة

تم تصميم أداة التعبئة المستخدمة للتعتيم على السارق خصيصًا لأداء المهمتين الرئيسيتين:

تحديد وضع الحماية وتصحيح الأخطاء
قم بإجراء التثبيت من أجل التحكم في النقل إلى السارق

عملية مكافحة التحليل ومكافحة التصحيح

لاكتشاف البيئات الموجودة في وضع الحماية، وخاصة البيئات الافتراضية، يستفيد برنامج الحزم من عداد طوابع الوقت للقراءة (RDTSC)، وهي تعليمات معروفة جدًا لوحدة المعالجة المركزية تُستخدم لاكتشاف VM عن طريق حساب فرق التوقيت (دلتا) بين مكالمتين إلى RDTSC. تمت ملاحظة RDTSC أيضًا، حيث يتم الاستعلام عن معلومات النظام مثل جدول معلومات البرامج الثابتة لتحديد الأجهزة الافتراضية.
لمنع مكافحة التصحيح، تتضمن البرامج الضارة عمليات التحقق من التصحيح على مستوى العملية وتعيين الخيط الرئيسي المخفي من مصحح الأخطاء.

كتب ضارة

قدم تتبع واجهة برمجة التطبيقات للبرامج الضارة فهمًا أكبر للأجزاء الداخلية للحزم، دون الحاجة إلى قضاء الكثير من الوقت في مصحح الأخطاء. يظهر أدناه سلوك مثير للاهتمام للغاية موجود في سجل التتبع.

يتم تعداد سلاسل العمليات في العملية الحالية باستخدام واجهات برمجة التطبيقات التالية:
- نواة 32! إنشاء أداة مساعدة 32 لقطة
- نواة 32! الموضوع 32التالي
ثم يتم فتح الخيوط وتعليقها.
بمجرد تعليق سلاسل الرسائل، يتم تخصيص بعض الذاكرة وإضافة البيانات إليها.
أخيرًا، يتم تغيير حماية الذاكرة من RWX إلى RX.

API trace present in the malware — أثر API موجود في البرامج الضارة

يتم تنفيذ تسلسل العمليات أعلاه مرتين، ثم يستأنف برنامج الحزم سلاسل العمليات المعلقة.

Image of the packer resuming the suspended threads — صورة الرازم وهو يستأنف الخيوط المعلقة

تم استرداد البيانات المكتوبة بواسطة البرامج الضارة من قبل باحثي CloudSek بمساعدة الأجهزة.

كما هو موضح في الصورة أدناه، تم إجراء مكالمة إلى نواة 32! اكتب ذاكرة المعالجة تم اعتراضه لرؤية البيانات التي تم تمريرها. من المثير للاهتمام ملاحظة أن عنوان بروتوكول الإنترنت تشير المعلمة في كلا المكالمتين إلى ntdll.dll في ذاكرة البرامج الضارة. ما مجموعه خمسة بايت تمت كتابة البيانات في منطقة الذاكرة الخاصة بـ nt.dll المحمل.

Hooking the NT API Calls — ربط مكالمات NT API

البيانات المكتوبة هي قفز تعليمة (jump)، متبوعة بعنوان محدد يشير إلى أحد المقاطع في أداة التجميع.

Updated function entry after hooking — تم تحديث إدخال الوظيفة بعد التثبيت

يلعب الربط دورًا رئيسيًا في مرحلة تحميل السارق ويقوم برنامج الحزم بربط واجهات برمجة التطبيقات التالية:

ntdll! جهاز فك الارتباط عن بعد لـ DBGUI — المدمن جهاز دي بي جي آي ريموت بريك إن سيأخذ تدفق التحكم للخروج. هذه تقنية أخرى لمكافحة تصحيح الأخطاء حيث يتم استخدام واجهة برمجة التطبيقات المستهدفة بشكل أساسي بواسطة مصححات أخطاء Windows لإجراء كسر في البرنامج. وبالتالي، يقوم برنامج الحزم بإعادة توجيه التدفق، مما يؤدي إلى إنهاء البرامج الضارة.
ntdll! الذاكرة الافتراضية ZW PROTECT — إذا لم يحدث ما سبق، يقوم الرازم بإجراء مكالمة إلى ntdll! الذاكرة الافتراضية ZW PROTECT وينشر راكون ستيلر v2 على النظام المستهدف.

تجربة قيم الإرجاع الخاصة بـ نواة 32! اكتب ذاكرة المعالجة ساعدت المكالمة أثناء التحليل في تأكيد عملية الربط ntdll! الذاكرة الافتراضية ZW PROTECT، وهي خطوة حاسمة في عملية العدوى. فشل في الربط ntdll! الذاكرة الافتراضية ZW PROTECT يتسبب في إنهاء البرامج الضارة وظهور التحذير التالي.

لا يتم ملاحظة هذا السلوك عندما تفشل البرامج الضارة في الربط ntdll! جهاز فك الارتباط عن بعد لـ DBGUI، حيث لا يتم إنهاء البرنامج.

تنفيذ البرامج الضارة

تحميل ديناميكي لواجهة برمجة التطبيقات

بمجرد تنفيذ Raccoon Stealer، يتم تحميل واجهات برمجة التطبيقات ديناميكيًا في الذاكرة. يتم استخدام واجهات برمجة التطبيقات هذه لاحقًا بواسطة البرامج الضارة لتنفيذ أنشطة ضارة على الجهاز المخترق.

Code responsible for runtime dynamic linking of DLLs — الكود المسؤول عن الربط الديناميكي لوقت التشغيل لـ DLLs

فك تشفير السلسلة

بعد تحميل المكتبات بنجاح، يقوم السارق بفك تشفير جميع السلاسل الموجودة في الذاكرة. استخدمت الإصدارات السابقة من السارق فك تشفير RC4 لتشفير السلاسل.

RC4 decryption routine used in the old malware samples — روتين فك تشفير RC4 المستخدم في عينات البرامج الضارة القديمة

ومع ذلك، يستخدم الإصدار الأخير ترميزًا مخصصًا يستند إلى Xor لتشفير السلاسل.

Custom XOR encoding used in new malware samples — ترميز XOR المخصص المستخدم في عينات البرامج الضارة الجديدة

كشف اللغة الروسية

يقوم السارق بالاتصال بـ نواة 32! احصل على اسم المنطقة الافتراضي لاسترداد لغة النظام (الاسم المحلي)، ثم التحقق منها مقابل السلسلة «رو». في حالة وجود تطابق إيجابي، لا يتم تطبيق أي منطق للتنفيذ، مما يدل على أن البرامج الضارة لا تزال قيد التطوير. في المستقبل، يمكننا أن نتوقع أن يقوم السارق بإنهاء نفسه بعد العثور على المباراة.

موتكس

بعد التحقق من اسم اللغة، يبحث السارق عن أي عينات نشطة من البرامج الضارة، عن طريق الاتصال كيرنيل 32 أوبن موتكس. في حالة العثور على عملية برامج ضارة نشطة، يتم إنهاء تنفيذ البرامج الضارة الحالية، وإلا يتم إنشاء mutex جديد على النظام.

Code responsible for mutex creation — الكود المسؤول عن إنشاء mutex

اقرأ أيضًا التحليل الفني لمحمل البرامج الضارة من Bumblebee

فحص المشرف

بمجرد إنشاء Mutex، يتحقق Raccoon من امتيازات عملية المستخدم باتباع الخطوات أدناه:

عملية ADVAPI 32 المفتوحة يتم استدعاؤه للحصول على التعامل مع رمز العملية.
Advapi 32. احصل على معلومات الرمز المميز يتم استدعاؤه على مقبض الرمز المميز للعملية المكتسبة عن طريق المرور مستخدم الرمز كقيمة لـ فئة معلومات الرمز المعلمة، التي تقوم بإرجاع معرف المستخدم هيكل.
يتم تحويل بنية SID إلى سلسلة عن طريق الاتصال أدفابي 32! تحويل SID إلى سلاسل IDW.
تتم مقارنة سلسلة SID بالقيمة «س-1-5-18»، قيمة SID لـ محلي/نظام أو الأعضاء في المشرف المحلي مجموعة.
في حالة رفع مستوى عملية المستخدم، يتم إرجاع القيمة 0.

Administrator check performed by the stealer — فحص المسؤول الذي يقوم به السارق

تعداد العمليات

في حالة رفع مستوى العملية، يتم تعداد العمليات التي تعمل على النظام كما هو موضح أدناه:

كيرنيل 32! إنشاء أداة مساعدة 32 لقطة يتم استدعاؤه بتمرير العلامة TH32CS_SNAPPROCESS لتضمين جميع العمليات التي تعمل على النظام في اللقطة.
ال كيرنيل 32! العملية 32 الأولى و كيرنيل 32! العملية 32/التالي تُستخدم واجهات برمجة التطبيقات لتصفح اللقطة التي تحتوي على معلومات العمليات التي تعمل على النظام.

Process enumeration done by the malware — تعداد العمليات الذي تقوم به البرامج الضارة

من المثير للاهتمام ملاحظة أن النتيجة التي تم إرجاعها (1/0) لا يستخدمها الراكون في أي مكان. قد يكون السبب الرئيسي وراء ذلك هو الاحتمال القوي بأن البرامج الضارة لا تزال قيد التطوير بنشاط، ويجب توقع بعض التغييرات في رمز عينات الراكون المستقبلية.

للقراءة أيضًا نصائح إنتل حول تهديد البرامج الضارة لـ Raccoon Stealer

شبكة C2

يستخدم المهاجمون مجموعة من الأدوات والإجراءات المعروفة باسم البنية التحتية للقيادة والتحكم، وعادة ما يتم اختصارها بـ C2 أو C&C، للبقاء على اتصال مع الأجهزة المخترقة بعد الحصول على الوصول الأولي. يتصل سارق الراكون بالمنزل لأول مرة عن طريق إرسال سلسلة فريدة إلى C2. تم تصميم السلسلة الخاصة بالاتصال بالمعلومات التالية:

دليل الآلة تم استرجاعها من الموقع التالي في التسجيل:

الكمبيوتر\ HKEY_LOCAL_MACHINE\ البرامج\ مايكروسوفت\ التشفير

ال اسم المستخدم، تم جلبه عبر أدفابي 32! احصل على اسم مستخدم جديد API.
ال معرف التكوين، والتي يتم فك تشفيرها باستخدام مفتاح RC4 في بعض العينات وسلسلة أبجدية رقمية فريدة في عينات أخرى.

تنسيق ملف تعريف الضحية المرسل إلى C2

The HTTP POST request and the victim identification data sent by Raccoon Stealer to the C2 — طلب HTTP POST وبيانات تحديد هوية الضحية المرسلة من قبل Raccoon Stealer إلى C2

تكوين C2

يستخدم سارق الراكون علامات تعريف C2 التالية للتحكم في سلوك السارق.

معرفوصفليبس_مكتبة PE/DLL للتنزيلالأخبار_ملحقات المتصفحwlts_سرقة محافظ العملات المشفرةمعلومات النظام _ يجمع معلومات النظام وقائمة التطبيقات المثبتةلقطة شاشة_يأخذ لقطة شاشةtlgrm_يسرق البيانات من سطح مكتب Telegramgrbr_ملتقط كلمة المرورdscrd_ديسكورد ستيلرldr_تطلق حمولات إضافية مثل RATsالرمز المميزمعرف فريد لحملة التتبع

C2 configuration fetched by the malware — تكوين C2 الذي تم جلبه بواسطة البرامج الضارة

مكتبة الجلب

بمجرد حصول السارق على تكوين C2 من C2، يبدأ في تحليل التكوين والبحث عن ليبس_ معرف لتنزيل ملفات المكتبة الشرعية مثل:

ns33.dll
msvcp140.dll
vcruntime140.dll
mozglue.dll
freeble.dll
softok3.dll
sqlite3.dll

يتم تنزيلها في المستخدم\ بيانات التطبيق\ locAllow الدليل ولا يتم تحميلها في الذاكرة.

Legitimate DLLs downloaded by the malware — ملفات DLL الشرعية التي تم تنزيلها بواسطة البرامج الضارة

تقوم البرامج الضارة بتحميل ملفات DLL الضرورية في الذاكرة، أثناء عملية سرقة المعلومات، وتقوم بحل الوظائف المختلفة ديناميكيًا. توضح الصور أدناه التحميل الديناميكي لواجهة برمجة التطبيقات من sqlite.dll و ns33.dll على التوالي.

Runtime dynamic loading of sqlite.dll — وقت التشغيل: التحميل الديناميكي لـ sqlite.dll

Runtime dynamic loading of ns33.dll — وقت التشغيل: التحميل الديناميكي لـ ns33.dll

تعداد معلومات النظام

بعد جلب المكتبات، يتم إنشاء ملف تعريف للمضيف وإرساله إلى C2 كملف »نظام Info.txt» ملف.

System information sent to C2 — تم إرسال معلومات النظام إلى C2

يقوم السارق بإجراء توصيف المضيف فقط إذا معرف sstmnfo_ موجود في تكوين C2. يتم تعداد المعلومات التالية في ملف تعريف المضيف:

المعلومات المحلية، التي يتم جلبها من النظام عبر كيرنيل 32! احصل على تدفق محلي.
معلومات المنطقة الزمنية، التي يتم جلبها من النظام عبر كيرنيل 32! احصل على معلومات المنطقة الزمنية.
اسم المنتج (OS)، تم جلبه من التسجيل.
بنية الضحية، التي تم تحديدها من خلال التحقق من وجود نظام التشغيل W64 دليل.
معلومات بائع وحدة المعالجة المركزية وطرازها، التي تم جلبها بواسطة تعليمات تجميع وحدة المعالجة المركزية.
تم استرداد معلومات النظام من كيرنيل 32! احصل على معلومات النظام API.
معلومات الذاكرة، التي يتم جلبها من النظام عبر كيرنيل 32! حالة الذاكرة العالمية على سبيل المثال.
دقة العرض، يتم جلبها من النظام عبر المستخدم 32! احصل على مقاييس النظام
محولات العرض والشاشات المتصلة بالنظام.
التطبيقات المثبتة عبر Sالبرامج\\ ميكروسوفت\\ ويندوز\\ الإصدار الحالي\\ إلغاء التثبيت.

سرقة المعلومات

بيانات المتصفح

تقوم البرامج الضارة بسرقة المعلومات المحفوظة بواسطة متصفحات الويب في دليل AppData الخاص بالمستخدم المحلي. الأدلة الأساسية المستهدفة هي «بيانات المستخدم» و الملف الشخصي .

يهتم السارق ببيانات المتصفح التالية:

ملفات تعريف الارتباط
الملء التلقائي
كلمات المرور المخزنة
معلومات بطاقة الائتمان المخزنة

مثل أي سارق، يقوم Raccoon بالعمليات التالية لسرقة بيانات المتصفح:

يقوم باسترداد ملف قاعدة بيانات SQL الهدف المخزن بواسطة المتصفح. فيما يلي بعض قواعد بيانات Chrome الهامة، التي يستهدفها السارق.

البيانات المسروقةموقع البيانات المسروقةكلمات المرورC:\Users\user\AppData\Local\Google\Chrome\User البيانات\ الافتراضي\ بيانات تسجيل الدخولالملء التلقائيC:\Users\user\AppData\Local\Google\Chrome\User البيانات\ الافتراضي\ بيانات الويببطاقات الائتمانC:\Users\user\AppData\Local\Google\Chrome\User البيانات\ الافتراضي\ بيانات الويبملفات تعريف الارتباطC:\Users\user\AppData\Local\Google\Chrome\User البيانات\ الافتراضي\ الشبكة\ ملفات تعريف الارتباط

تقوم البرامج الضارة بسرقة مفتاح فك التشفير المخزن في »الولاية المحلية» ملف المتصفح، والذي يستخدم لحماية البيانات المخزنة في قواعد البيانات في بيانات المستخدم الدليل المذكور أعلاه.
ثم تنتقل البرامج الضارة إلى فتح قاعدة البيانات وفك تشفير البيانات.
ثم يتم إرسال البيانات المسروقة مرة أخرى إلى C2.

أوامر لسرقة بيانات المتصفح

الذي تم تنزيله مسبقًا sqlite.dll يتم تحميله في الذاكرة لحل عناوين الوظائف المطلوبة للاستعلام عن البيانات من قاعدة بيانات المتصفح. تحتوي الصور التالية على استعلامات SQL المختلفة التي تستخدمها البرامج الضارة لسرقة بيانات متصفح Chrome.

SQL queries used by Raccoon to steal cookie data from Chrome browser’s cookie store — استعلامات SQL التي يستخدمها Raccoon لسرقة بيانات ملفات تعريف الارتباط من متجر ملفات تعريف الارتباط في متصفح Chrome

SQL queries used by Raccoon to steal credit card information saved on the browser — استعلامات SQL التي يستخدمها Raccoon لسرقة معلومات بطاقة الائتمان المحفوظة على المتصفح

SQL queries used by Raccoon to steal autofill data stored in the browser — استعلامات SQL التي يستخدمها Raccoon لسرقة بيانات الملء التلقائي المخزنة في المتصفح

الذي تم تنزيله مسبقًا ns33.dll يتم تحميله في الذاكرة لاسترداد البيانات المخزنة بواسطة Mozilla Firefox. ثم يشرع السارق في سرقة ملف تعريف الارتباط الخاص بالمتصفح وتسجيل الدخول وبيانات سجل النماذج. ال »ffcookies.txt» يتم استخدام اسم الملف لإرسال بيانات Firefox المسروقة إلى خادم C2.

Mozilla Firefox cookies targeted by Raccoon — ملفات تعريف الارتباط الخاصة بموزيلا فايرفوكس التي يستهدفها الراكون

SQL query issued by Raccoon on the cookie.sqlite file, to steal cookie data from Firefox — استعلام SQL الصادر عن Raccoon على ملف cookie.sqlite، لسرقة بيانات ملفات تعريف الارتباط من Firefox

SQL query used by Raccoon to steal form history from Firefox — استعلام SQL يستخدمه Raccoon لسرقة سجل النماذج من Firefox

المحافظ وملحقات المتصفح

يحتوي الجدول أدناه على قائمة المحافظ وإضافات الويب التي تستهدفها برامج Raccoon الضارة.

محافظEXODUSATOMICJAXX ليبرتي إلكترون كاش بينانس CoinomiElectrumledgerguard AmoneroRonindaedalus بلوك ستريم جرين ميتا واسابيملحقات الويبميتاكسإكس دي ويف سكيبر سولر أرنب سايانوكوين بايس أورومينا KHCTEZBOX COIN98Temple Iconex Sollet Clover Polymeshneoline Kepler Terrastation السيولة محفظة زحل النقابة محفظة فانتومترون لينك شجاع ميتاماسكرون في MewcxTongoby Bitkeep Cosmostation Games Stop StarzerenKryptjax Liberty Clover محفظة

الاستيلاء على الملفات

تستخدم البرامج الضارة معرف grbr_ لتمكين وظيفة grabber والبدء في البحث في النظام عن ملفات مثل ملفات كلمات المرور وبذور المحفظة وما إلى ذلك.

File grabbing C2 configuration in Raccoon — تكوين C2 للاستيلاء على الملفات في الراكون

بيانات تيليجرام وديسكورد

يسرق الراكون بيانات تيليجرام من «تيليجرام لسطح المكتب»\ tdata دليل. وهي مهتمة بشكل خاص بالأدلة التي تحتوي على user_data و emoji و tdummy و dumps.

السارق قادر أيضًا على سرقة بيانات Discord، مثل الرموز، ولكن هذه الميزة غير ممكّنة افتراضيًا. يحتاج مشغل البرامج الضارة إلى توفير ملف بشكل صريح «dscrd_» معرف في التكوين لتمكين هذا الخيار.

التقاط لقطة شاشة

بصرف النظر عن سرقة المعلومات، يمكن لـ Raccoon أيضًا التقاط لقطات شاشة للنظام المخترق باستخدام «scrnsht_» معرف في تكوين C2. يتم شرح تفاصيل عملية التقاط لقطة الشاشة أدناه.

يستخدم الراكون مكتبتين وهما gdi32.dll و gdiplus.dll لالتقاط شاشة الضحية. يتم تحميل هذه المكتبات ديناميكيًا ويتم حل عناوين API.

Malware taking screen capture using gdi32.dll and gdiplus.dll — تلتقط البرامج الضارة لقطة الشاشة باستخدام gdi32.dll و gdiplus.dll

تم حل قائمة واجهات برمجة التطبيقاتجيديبلوس! GDI Plus بدء تشغيل GDIPlus! صورة جهاز GDIP لجهاز GDI Plus! برنامج ترميز الصور GDIP GDI Plus! احصل على أجهزة تشفير الصور بحجم GDI Plus! GDIP قم بإنشاء صورة نقطية من Hbitmapgdi Plus! GDIP احفظ الصورة في ملف GDI32! بت بت إل تي جي دي 32! قم بإنشاء صورة نقطية متوافقة GDI32! قم بإنشاء DCGDI 32 المتوافق! حذف الكائن GDI 32! احصل على الكائن WGDI 32! حدد الكائن GDI 32! قم بتعيين وضع Stretchblt GDI 32! حزام قابل للتمدد

العملية التي تم إجراؤها لالتقاط الشاشة باستخدام المكتبات المذكورة أعلاه ليست سهلة. يتطلب تقنيات معالجة الصور واسعة النطاق، وهو ما يتجاوز نطاق هذا التقرير. باختصار، يتم حفظ الصورة الملتقطة على القرص في ملف jpeg صيغة. في البداية، يكون الاسم المعين للملف عشوائيًا، ولكن عندما يتم إرساله إلى C2، يتم نقل الصورة كـ »— لقطة شاشة.jpg». تُظهر الصورة أدناه محادثة الراكون مع C2.

Screenshot being sent to the C2 endpoint — يتم إرسال لقطة الشاشة إلى نقطة نهاية C2

تنفيذ الحمولة الإضافية

يمتلك سارق الراكون، مثل أي برنامج ضار آخر في فئته، القدرة على تنفيذ برامج ضارة إضافية مقدمة من المستخدم (مثل RATs) على النظام المخترق. وفقًا لتحليل CloudSek لعينات متعددة، فإن هذه الميزة غير موجودة افتراضيًا. وبالتالي، عندما يقوم السارق بجلب التكوين، سيتعين على المشغل تمكين هذه الميزة بشكل صريح من خلال توفير ldr_ تحديد مع عنوان URL لجلب الحمولة الإضافية القابلة للتنفيذ جنبًا إلى جنب مع معلومات الدليل لتثبيته/إسقاطها على النظام لمزيد من التنفيذ.

توضح الصورة أدناه الوحدة المسؤولة عن هذه الميزة. في البداية، تتحقق الوحدة من معرف ldr_ في تكوين C2. في حالة عدم وجود Idr_، يعود التدفق إلى وظيفته الرئيسية.

Checking the C2 configuration for additional payload execution option — التحقق من تكوين C2 لخيار تنفيذ الحمولة الإضافية

إذا كان C2 يحتوي على معرف ldr_، يتم استخدام التعليمة البرمجية التالية لتنفيذ الملف التنفيذي الذي تم جلبه. ال شل 32! شل تقوم بإعدام W يتم استدعاء API عن طريق تمرير الملف والعملية «المفتوحة» كمعلمات.

Code responsible for additional payload execution via the ShellExecuteW API — الكود المسؤول عن تنفيذ الحمولة الإضافية عبر واجهة برمجة تطبيقات ShellExecuteW

التنظيف

قبل الخروج من النظام، يقوم السارق بحذف ملفات DLL التي تم تحميلها في الذاكرة أثناء العملية وينهي تنفيذها.

مؤشرات التسوية (IOCs)

نظام ثنائي494 abd 44 bb96537 fc8a3e832e3e3cf032b0599501 f96a682205 bc46d9 b7744 d52 abd2db9bfa45002375 af028ac00115e1c1db30a116 c21c2b4c75c4ff9aecبروتوكول IPv4193.56.146.177