Эксперты выявили первую атаку с использованием новой техники внедрения стороннего кода в приложения Windows под названием PROPagate.
Метод основан на ошибках функции SetWindowSubclass API, которая управляет окнами приложений в графическом интерфейсе (GUI) Windows. Специалисты обнаружили, что при помощи этой команды и параметров UxSubclassInfo и CC32SubclassInfo можно загрузить вредоносный код внутрь приложения и выполнить его. Баг затрагивает только программы, использующие GUI операционной системы. В число таких приложений входит большинство системных утилит Windows, включая “Проводник”.
В дикой природе PROPagate обнаружили при изучении вредоносной кампании, целью которой является установка майнера криптовалюты Monero. Чтобы скрытно внедрить зловредную программу на компьютер жертвы, мошенники используют трехступенчатый алгоритм, в котором новая техника играет не последнюю роль.
Атака начинается на скомпрометированном сайте, который при помощи невидимого фрейма перенаправляет посетителя на подконтрольную киберпреступникам страницу. Ее код содержит три фрагмента на JavaScript, каждый из которых использует собственный метод доставки полезной нагрузки.
Для загрузки установщика на базе платформы NSIS злоумышленники эксплуатируют известные уязвимости. Одна из них (CVE-2016-0189) связана с недостатками реализации скриптов Visual Basic, другая (CVE-2015-2419) относится к некорректному выполнению JavaScript в Internet Explorer, а CVE-2018-4878 является багом Adobe Flash Player.
Попав на компьютер, инсталлятор распаковывает DLL-библиотеку, которая содержит функцию расшифровки PE-файла, необходимого для размещения в памяти полезной нагрузки. На втором этапе зловред отключает виртуальные машины, которые могут представлять для него опасность. Далее, программа при помощи PROPagate внедряет код собственной оболочки в “Проводник” Windows.
Таким образом, с точки зрения операционной системы все дальнейшие действия вредоносной программы выполняются от имени легитимного процесса explorer.exe.
Финальная стадия включает в себя создание процессов, выгружающих все системные средства проверки, и удаление следов деятельности зловреда с жесткого диска. Итогом атаки становится скачивание и запуск криптомайнера Monero.
Эксперты Центра кибербезопасности советуют не переходить по небезопасным ссылкам и использовать средства антивирусной защиты.