Киберпреступники доставляют бэкдор с драйвером NVIDIA

Специалисты по информационной безопасности сообщают о целевой киберкампании, направленной на организации технологического сектора в Юго-Восточной Азии. Злоумышленники используют легитимное ПО NVIDIA для доставки бэкдора, чтобы получить привилегии администратора, заменив трояном встроенную Windows-утилиту для чтения текста с экрана.

Эксперты пока затрудняются идентифицировать APT-группировку, стоящую за атаками. Киберпреступники используют opensource-бэкдор PcShare Нападение начинается с доставки на компьютер жертвы бэкдора PcShare. Зловред распространяется через фишинговые сайты в составе легитимного приложения NVIDIA Smart Maximise Helper Host. Преступники подменили библиотеку NvSmartMax.dll на модифицированную версию PcShare. Из оригинального бэкдора удалили функции, связанные с потоковым вещанием и перехватом ввода на клавиатуре, но добавили возможности для шифрования канала связи с командным сервером и обхода прокси. Подменив легитимный DLL-файл, киберпреступники могут загружать исполняемый модуль в оперативную память и доставлять другую полезную нагрузку под прикрытием утилиты NVIDIA. Код бэкдора содержит адрес промежуточного командного сервера, на котором хранятся инструкции по взаимодействию с основным центром управления. Таким образом злоумышленники скрывают адрес основного хоста и при необходимости фильтруют трафик. Второй этап атаки: внедрение фальшивого экранного диктора Windows Закрепившись на целевой машине, атакующие доставляют на нее троян, имитирующий функции экранного диктора Windows. Для приложения, зачитывающего текста с экрана, упрощен вход в систему и разрешен запуск других программ с системными привилегиями. После старта троян включает легитимный голосовой помощник и открывает диалоговое окно от его имени, а также процесс, который перехватывает действия с клавиатурой. Зловред ожидает ввод специального пароля, жестко зашитого в коде, а затем открывает диалог для запуска команды или файла. Таким образом, киберпреступник может выполнить код на целевом устройстве даже без учетных данных пользователя: достаточно лишь передать на машину заданный ключ, чтобы активировать окно трояна. Точных данных о том, кто стоит за этой кампанией, нет. ИБ-специалисты считают, что использование PcShare, а также география атак может указывать на кибергруппировку Tropic Trooper, которая регулярно нападает на правительственные учреждения и промышленные компании в Тайване и на Филиппинах. В августе этого года специалисты «Лаборатории Касперского» рассказали о полиморфном бэкдоре VBShower, взятом на вооружение командой злоумышленников Cloud Atlas. Вредоносная программа меняет свой код от атаки к атаке, что затрудняет ее обнаружение сканерами безопасности.