РУССКИЙ
РУССКИЙ
ENGLISH
3 июня 2021

FontPack: опасное обновление

Кто стоит за воровством учеток и данных банковских карт, требуя обновить фейковый Flash Player, браузер или шрифты
У нас в Group-IB Threat Intelligence только и разговоров что об атрибуции. С каждым годом делать это все сложнее, поскольку уникального вредоносного ПО становится меньше, "партнерок" (коллабораций между злоумышленниками) — все больше, а количество и качество атак растет. Сегодня Никита Ростовцев, аналитик Group-IB Threat Intelligence, покажет атрибуцию на практике, используя в качестве объекта исследования один хакерский лендинг, который специалисты Group-IB отслеживают под кодовым названием FontPack. Мы узнаем, каким образом и что именно этот лендинг распространяет, а также раскроем другие интересные штуки, которые обнаружили в ходе исследования.
Так как мы взялись за атрибуцию, прежде всего нам важно выяснить, кто стоит за данным лендингом, атрибутируя его до хакерской группы или конкретного злоумышленника. На данном этапе достаточно знать, что исследуемый лендинг размещается на скомпрометированных сайтах с последующим инжектированием в них JS-скриптов. Именно эти скрипты способны имитировать "поломку" сайта, отображая пользователям специальное окно с предупреждением о том, что необходимо обновить программное обеспечение. Например, браузер, плеер Adobe Flash Player или шрифты. Как вы поняли, именно из-за шрифтов FontPack получил свое кодовое название в нашей команде.

Какой именно фейк и как часто его отображать жертве — решает злоумышленник, меняя соответствующие переменные в коде скрипта. Этим инструментом, по нашим данным, успешно пользуются сразу несколько хакеров, не связанных между собой.

Сфокусируем наше исследование на одной из кампаний, конечной целью которой была загрузка стилера RedLine на устройства жертв. В случае успеха злоумышленник получал возможность собирать учетные данные, данные форм автозаполнения и банковских карт жертв. Согласно нашему исследованию, начиная с ноября 2020 года лендинг FontPack заразил минимум 20 сайтов. Причем шесть из них являются частью одной кампании. Но обо всем по порядку.
Что такое FontPack
Для начала определим, что под лендингом мы имеем в виду целевую страницу, которая отображается пользователю для того, чтобы побудить его загрузить вредоносный файл, который затем будет исполнен. Лендинг FontPack известен исследователям Threat Intelligence & Attribution с 2018 года. Другим специалистам этот лендинг может быть знаком под именем Domen Toolkit из-за его переменной var domen.
Каким образом он встраивается в сайт
Атака начинается со встраивания JS-скрипта, содержащего FontPack, в веб-сайты, которые созданы и управляются злоумышленниками. Также для этих целей используется легитимный скомпрометированный сайт.
Пример появления фейкового окна с просьбой обновить браузер поверх легитимного сайта
Жертвы могут месяцами посещать сайты, которым они доверяют и которые, возможно, посещали раньше, а в один момент эти сайты попросят обновить устаревший плагин. И тогда на компьютер пользователя загружается вредоносное ПО. Такой тип атак наиболее эффективен для злоумышленников, а также более опасен для простых пользователей, так как они доверяют сайту и не подозревают о возможном заражении. Для читателей, которые пока не понимают, как это может выглядеть, гифка ниже поможет прояснить ситуацию.
Что же произошло? Мы видим, что пользователь заходит на сайт, который посещал и раньше, проводит там некоторое время, после чего содержимое сайта начинает визуально "ломаться", а браузер предлагает обновить Flash Player для того, чтобы всё вновь стало работать. Жертва соглашается.
Разбираемся в коде лендинга
Чтобы разобраться, как это работает, необходимо взглянуть на содержимое вредоносного JS-скрипта. Исследуя содержимое сайта, мы обнаруживаем JS-скрипт под названием wp-kernel.js.
Пример кода лендинга FontPack, указывающий, что создаваемый с помощью него фейк будет работать как на десктопе, так и на мобильных устройствах
Содержимое этого скрипта недвусмысленно даёт понять, что, кроме персональных компьютеров, он способен заражать и мобильные устройства под управлением операционных систем Android, BlackBerry OS, а также тех, что используют мобильные браузеры IE Mobile и Opera Mini. Скрипт определяет, с какого браузера происходит подключение, и на основе этих данных выдаёт жертве ссылку на нужный файл. Как мы видим, скрипт способен менять фейковые окна, изменяя значение переменной var banner:
Фейковое окно обновления браузера
Фейковое окно обновления шрифта
Фейковое окно обновления Adobe Flash Player
Переменная var startTime отвечает за время в миллисекундах, по истечении которого пользователю будет отображено фейковое окно.

Переменная var linkMobile отвечает за ссылку на приложение под мобильные устройства (в данном случае не активна). В итоге мы видим только заражение под операционную систему Windows.

Как было сказано выше, когда скрипт отрабатывает, можно заметить, что содержимое сайта начинает визуально искажаться, — за это отвечает переменная var bugs. Она должна быть выставлена в значении "True". В режиме "False" никаких изменений с сайтом не происходит.

Переменная oneTimeShow, в свою очередь, задаёт частоту отображения скрипта перед посетителем. Если данная переменная выставлена в режим "True", то скрипт отработает лишь один раз для каждого пользователя.

Кроме того, в скрипте указан набор из 27 языковых систем, под которые будут отображаться фейковые окна. Спойлер: вы не найдете там ничего, связанного с СНГ.

Мы не преследуем цель полностью описать работу скрипта, поэтому пойдём дальше.

В коде JS-скрипта можно найти переменную var domen со значением browsertelemetry[.]tk. Этот домен содержит админ-панель, располагающуюся по адресу https://browsertelemetry[.]tk/admin/login.

Можно заметить, что админ-панель на странице аутентификации использует кириллицу:
Панель администратора, используемая в кампании FontPack
Изучаем профиль на андеграундных площадках
Исследователи из Malwarebytes в отчёте от 28 февраля 2020 года рассказывали, что изучаемый нами лендинг поступил в продажу 10 апреля 2019 года. Автором топика продажи на предоставленном исследователями скриншоте является пользователь под ником xxbtc. Этот же лендинг распространяли пользователи под никами grinGo и holeo. Примечательно, что товар выставлялся на продажу от имени сразу трех пользователей на самых разных андеграунд-площадках.
С небольшими отличиями, на каждом из приведенных выше скринов содержится примерно одинаковый текст о продаже лендинга на русском языке
Интересно, что шестью днями позже злоумышленник под ником xxbtc предлагал пользователям форума принять участие в тестировании биржи шеллов — MagBo. Отметим этот факт и остановимся на нем чуть позже.
В нашу историю постепенно проникает MagBo…
В качестве инвайта пользователь оставил "CTXDDYMGFJ". Согласно нашим данным, шесть человек на различных площадках оставляли сообщения похожего содержания с идентичным инвайтом: Xxtbc, xenys, gonleen, amlogic, grinGo, pacificcc.

Кроме того, часть из этих ников объединяют Jabber- и Telegram-аккаунты, оставленные в качестве способа коммуникаций: xxxbtc@exploit.im и @xengf (пользователи xxbtc, kista, holeo, xenys, amlogic, exynos, gringo, pacificcc).
Пример одинаковых Telegram-аккаунтов, связанных с разными никами
Это уже с высокой долей вероятности говорит о том, что аккаунты принадлежат одному человеку. Предположение становится еще более очевидным, если посмотреть на составленный нами майндмэп ниже.
Взаимосвязь между различными профилями, которые с высокой долей вероятности принадлежат одному владельцу
Причем тут MagBo?
По нашим данным, начиная с ноября 2020 года исследуемый лендинг заразил как минимум 20 сайтов. Причем шесть из них являются частью одной кампании, то есть связаны с доменом browsertelemetry[.]tk. Примечательно, что к некоторым из этих сайтов продавали доступ как раз на MagBo. Кроме того, среди опубликованных сообщений пользователя xxxbtc на MagBo была продажа логов за ноябрь-декабрь 2020 года.
Пример продажи доступов на MagBo пользователем с уже знакомым нам ником хххbtc
Так, а кто автор лендинга?
Более глубокое исследование позволило обнаружить, что на самом деле лендинг, который мы называем FontPack, выставил на продажу пользователь под ником DR.PREDATOR в январе 2018 года.
Исторические данные из системы Group-IB Threat Intelligence & Attribution: на самом деле исследуемый лендинг впервые выставили на продажу еще в январе 2018 года
Уже в конце 2019-го проект закрыли и выложили в открытый доступ, то есть скачать его мог кто угодно бесплатно.
В конце 2019 года пользователь под ником DR.PREDATOR выложил лендинг в открытый доступ
Опубликованный в паблике проект имеет максимально схожую структуру с той, что предлагает xxbtc. Впрочем, уже 10 октября 2019 года xxbtc предлагает комплект, в состав которого входит и скрипт от пользователя под ником DR.PREDATOR.
Поразительное совпадение: пользователь под ником xxbtc тоже выкладывает пак, в состав которого вошел скрипт DR.PREDATOR
Что распространяет этот ваш лендинг?
На момент исследования мы установили, что одна из кампаний, содержащая данный лендинг, распространяла несколько вариантов вредоносного программного обеспечения под названием RedLine Stealer. К нему мы вернемся позже.

К этой кампании относятся следующие домены:
Как мы видим, загрузка происходит через два репозитория bitbucket.org:
https://bitbucket[.]org/FlashPlayerUpdate/flashplayer
https://bitbucket[.]org/AdobeFlashUpdate/flashplayer
Ниже представлены скриншоты двух репозиториев, которые были сделаны 19 апреля 2021 года.
По ссылкам для загрузок находится исполняемый файл и архив, содержащий вредоносную программу:
FlashPlayer.exe (from zip) – SHA1 1ea09cd229b34951007f81c8e5acd323386e4fb6
FlashPlayer.exe - SHA1 36d08c8ab8e161923403cd89bdf3600fccd6629a
Согласно результатам детонации из нашей системы Group-IB Threat Hunting Framework (THF) Polygon, позволяющей запустить вредоносное ПО в изолированной среде, эти файлы являются образцами RedLine Stealer.
Выявляем тип ВПО: на скриншоте результат детонации файлов из нашей системы Group-IB THF Polygon, позволяющей запустить вредоносное ПО в изолированной среде. Файлы являются образцами RedLine Stealer.
В момент выполнения эти файлы отправляют на свой C&С-сервер HTTP-запросы следующего вида:
Итак, давайте подведем промежуточные итоги. В результате нашего исследования мы выяснили, что:
Лендинг FontPack — это комплект фейковых страниц, предназначенных для обмана пользователей с целью принудить их загрузить вредоносный файл.
FontPack распространяется в виде JS-скрипта.
JS-скрипт может быть установлен на взломанном или управляемом злоумышленниками сервере.
FontPack содержит фейки в виде фальшивого обновления браузера, шрифта или Adobe Flash Player.
FontPack работает как в десктопных, так и в мобильных версиях браузеров.
Основная цель лендинга — определить используемую версию браузера и на основе этих данных выдать ссылку на загрузку определенного файла.
Одна из исследуемых кампаний доставляет стилер RedLine.
Что умеет RedLine Stealer
Стилер RedLine стал известен хакерскому сообществу в начале 2020 года, когда его впервые выставили на продажу сразу на нескольких андеграунд-форумах.
Первое объявление на андеграундном форуме, датированное 19 февраля 2019 года, о том,
что вредоносное ПО RedLine Stealer выставляется на продажу
RedLine быстро приобрел популярность и, по нашим данным, с октября 2020 года насчитывает более 230 C&C-серверов. Стилер написан на языке C# и имеет типичный функционал такого типа ВПО:
1
Сбор учетных данных, cookie-файлов, данных из форм автозаполнения, данных кредитных карт из всех Chromium/Gecko-based браузеров
2
Сбор данных из FTP- и IM-клиентов
3
Выбор стран, в которых стилер не будет работать
4
Сбор информации о ПК жертвы
5
Настройка функции антидубликата логов в панели
6
Самоудаление
7
Выполнение задач четырьмя различными способами
Как могут выполняться задачи:

  1. Загрузка файла по прямой ссылке в указанный путь.
  2. Внедрение 32-битного файла, скачанного по прямой ссылке, в другой файл, который необходимо указать.
  3. Загрузка файла по прямой ссылке в указанный путь с последующим запуском.
  4. Открытие ссылки в браузере по умолчанию.
Примечательно, что даже те сайты, которые были скомпрометированы в феврале 2021 года, до сих пор отдают полезную нагрузку, несмотря на то, что C&C-сервер стилера больше недоступен.

Напоследок хочется сказать, что описанная кампания — лишь одна из многих, в которых использовался данный лендинг. Особенно интересны эти фейковые обновления на фоне прекращения поддержки Flash Player с начала 2021 года.
    MITRE ATT&CK и MITRE Shield:
    атаки с использованием лендинга FontPack
    Индикаторы компрометации