Участники угроз все чаще злоупотребляют законным и коммерчески доступным программным обеспечением packer, таким как BoxedApp, чтобы избежать обнаружения и распространять вредоносное ПО, такое как трояны удаленного доступа и похитители информации.
"Большинство приписываемых образцов вредоносного ПО были нацелены на финансовые учреждения и государственные отрасли", - сказал в своем анализе исследователь безопасности Check Point Иржи Винопал.
Объем образцов, упакованных с помощью BoxedApp и отправленных на принадлежащую Google платформу сканирования вредоносных программ VirusTotal, резко возрос примерно в мае 2023 года, добавила израильская фирма по кибербезопасности, при этом артефакты в основном поступали из Турции, США, Германии, Франции и России.
Среди семейств вредоносных программ, распространяемых таким образом, Agent Tesla, AsyncRAT, LockBit, LodaRAT, NanoCore, Neshta, njRAT, Quasar RAT, Ramnit, RedLine, Remcos, RevengeRAT, XWorm и ZXShell.
Упаковщики - это самораспаковывающиеся архивы, которые часто используются для объединения программного обеспечения и уменьшения его размера. Но с годами такие инструменты были перепрофилированы злоумышленниками, чтобы добавить еще один уровень запутывания к своим полезным нагрузкам в попытке противостоять анализу.
Всплеск злоупотреблений продуктами BoxedApp, такими как BoxedApp Packer и BxILMerge, объясняется рядом преимуществ, которые делают его привлекательным вариантом для злоумышленников, желающих внедрить вредоносное ПО, не будучи обнаруженным программным обеспечением endpoint security.
BoxedApp Packer можно использовать для упаковки как собственных, так и .NET–приложений, в то время как BxILMerge, аналогичный ILMerge, предназначен исключительно для упаковки .СЕТЕВЫЕ приложения.
Тем не менее, известно, что приложения, упакованные в BoxedApp, в том числе не вредоносные, подвержены высокому уровню обнаружения ложных срабатываний (FP) при сканировании антивирусными системами.
"Упаковка вредоносных полезных нагрузок позволила злоумышленникам снизить уровень обнаружения известных угроз, ужесточить их анализ и использовать расширенные возможности BoxedApp SDK (например, виртуальное хранилище) без необходимости разрабатывать их с нуля", - сказал Винопал.
"Сам пакет BoxedApp SDK открывает возможности для создания пользовательского, уникального упаковщика, который использует самые передовые функции и достаточно разнообразен, чтобы избежать статического обнаружения".
Семейства вредоносных программ, такие как Agent Tesla, FormBook, LokiBot, Remcos, XLoader, также распространялись с использованием незаконного упаковщика под кодовым названием NSIXloader, который использует систему установки Nullsoft со скриптами (NSIS). Тот факт, что оно используется для доставки различного набора полезных данных, подразумевает, что оно является товаром и монетизируется в темной Сети.
"Преимущество киберпреступников в использовании NSI заключается в том, что это позволяет им создавать образцы, которые на первый взгляд неотличимы от законных установщиков", - сказал исследователь безопасности Алексей Бухтеев.
"Поскольку NSIS выполняет сжатие самостоятельно, разработчикам вредоносных программ не нужно внедрять алгоритмы сжатия и распаковки. Скриптовые возможности NSI позволяют передавать некоторые вредоносные функции внутри скрипта, что усложняет анализ."
Разработка началась после того, как команда QiAnXin XLab раскрыла подробности о другом программном обеспечении под кодовым названием Kiteshield, которое использовалось несколькими участниками угроз, включая Winnti и DarkMosquito, для атаки на системы Linux.
"Kiteshield - это упаковщик / защитник для двоичных файлов x86-64 ELF в Linux", - сказали исследователи XLab. "Kiteshield оборачивает двоичные файлы ELF несколькими уровнями шифрования и внедряет в них загрузочный код, который расшифровывает, сопоставляет и выполняет упакованный двоичный файл полностью в пользовательском пространстве".
"Большинство приписываемых образцов вредоносного ПО были нацелены на финансовые учреждения и государственные отрасли", - сказал в своем анализе исследователь безопасности Check Point Иржи Винопал.
Объем образцов, упакованных с помощью BoxedApp и отправленных на принадлежащую Google платформу сканирования вредоносных программ VirusTotal, резко возрос примерно в мае 2023 года, добавила израильская фирма по кибербезопасности, при этом артефакты в основном поступали из Турции, США, Германии, Франции и России.
Среди семейств вредоносных программ, распространяемых таким образом, Agent Tesla, AsyncRAT, LockBit, LodaRAT, NanoCore, Neshta, njRAT, Quasar RAT, Ramnit, RedLine, Remcos, RevengeRAT, XWorm и ZXShell.
Упаковщики - это самораспаковывающиеся архивы, которые часто используются для объединения программного обеспечения и уменьшения его размера. Но с годами такие инструменты были перепрофилированы злоумышленниками, чтобы добавить еще один уровень запутывания к своим полезным нагрузкам в попытке противостоять анализу.
Всплеск злоупотреблений продуктами BoxedApp, такими как BoxedApp Packer и BxILMerge, объясняется рядом преимуществ, которые делают его привлекательным вариантом для злоумышленников, желающих внедрить вредоносное ПО, не будучи обнаруженным программным обеспечением endpoint security.
BoxedApp Packer можно использовать для упаковки как собственных, так и .NET–приложений, в то время как BxILMerge, аналогичный ILMerge, предназначен исключительно для упаковки .СЕТЕВЫЕ приложения.
Тем не менее, известно, что приложения, упакованные в BoxedApp, в том числе не вредоносные, подвержены высокому уровню обнаружения ложных срабатываний (FP) при сканировании антивирусными системами.
"Упаковка вредоносных полезных нагрузок позволила злоумышленникам снизить уровень обнаружения известных угроз, ужесточить их анализ и использовать расширенные возможности BoxedApp SDK (например, виртуальное хранилище) без необходимости разрабатывать их с нуля", - сказал Винопал.
"Сам пакет BoxedApp SDK открывает возможности для создания пользовательского, уникального упаковщика, который использует самые передовые функции и достаточно разнообразен, чтобы избежать статического обнаружения".
Семейства вредоносных программ, такие как Agent Tesla, FormBook, LokiBot, Remcos, XLoader, также распространялись с использованием незаконного упаковщика под кодовым названием NSIXloader, который использует систему установки Nullsoft со скриптами (NSIS). Тот факт, что оно используется для доставки различного набора полезных данных, подразумевает, что оно является товаром и монетизируется в темной Сети.
"Преимущество киберпреступников в использовании NSI заключается в том, что это позволяет им создавать образцы, которые на первый взгляд неотличимы от законных установщиков", - сказал исследователь безопасности Алексей Бухтеев.
"Поскольку NSIS выполняет сжатие самостоятельно, разработчикам вредоносных программ не нужно внедрять алгоритмы сжатия и распаковки. Скриптовые возможности NSI позволяют передавать некоторые вредоносные функции внутри скрипта, что усложняет анализ."
Разработка началась после того, как команда QiAnXin XLab раскрыла подробности о другом программном обеспечении под кодовым названием Kiteshield, которое использовалось несколькими участниками угроз, включая Winnti и DarkMosquito, для атаки на системы Linux.
"Kiteshield - это упаковщик / защитник для двоичных файлов x86-64 ELF в Linux", - сказали исследователи XLab. "Kiteshield оборачивает двоичные файлы ELF несколькими уровнями шифрования и внедряет в них загрузочный код, который расшифровывает, сопоставляет и выполняет упакованный двоичный файл полностью в пользовательском пространстве".
