В начале 2017 года исследователи «Лаборатории Касперского» рассказали о вредоносной кампании TwoBee, названной «в честь» основной троянской программы злоумышленников — Trojan-Banker.Win32.TwoBee.gen. Как оказалось, в наши дни по-прежнему можно присвоить чужой денежный перевод, просто отредактировав текстовый файл при помощи малвари. И не один раз, а проделать такой трюк с целым рядом серьезных организаций.

Характерной особенностью TwoBee была подмена реквизитов получателя денежного перевода в файле 1c_to_kl.txt, создаваемом бухгалтерской системой. Теперь исследователи компании представили новый отчет, в котором пишут, что банкер TwoBee был не первой подобной малварью и, как показала практика, далеко не последней.

Эксперты рассказывают, что метод подмены реквизитов активно использовали вредоносы Buhtrap и Fibbit. И если Buhtrap получил широкую известность в 2014 году, то первые версии Fibbit были замечены тремя годами ранее. В июне 2016 исследователи обнаружили один из модулей трояна, который назывался taz, tazsb или tazjp и действовал по схеме, очень похожей на TwoBee.

Кроме того, в 2015 году параллельно с Fibbit использовался и троян Trojan-Banker.Win32.RTM. Специалисты заметили, что один из его модулей (1c_2_kl), также использовался для слежения за файлом 1c_to_kl.txt, отправлял сформированную «платежку» на сервер, но при этом ничего с ней не делал. Предположительно, на тот момент модуль еще находился в разработке. В 2017 году он наконец получил полноценное обновление (1c_2_kl_r), которое сами авторы, судя по всему, называют Arnold. В классификации «Лаборатории Касперского» малварь получила идентификатор Trojan-Banker.Win32.Ronald.

Хотя изначально Arnold должен был просто заменить модуль подмены «платежек», в итоге из него получился самостоятельно функционирующий бот, состоящий из загрузчика и нескольких небольших библиотек. Загрузчик инжектируется в процесс explorer.exe, с помощью алгоритма AES и ключа 01234567890123456789012345678901 расшифровывает библиотеки, после чего вызывает в них экспортируемую функцию init.

В отличии от банкера TwoBee, активно использовавшего протокол UDP для общения с управляющим сервером, Arnold работает посредством HTTP. Как только бот устанавливает соединение с командным центром, он запрашивает конфигурационный файл, содержащий набор правил, по которым будет происходить замена в «платежке». Ответ сервера зашифрован алгоритмом AES, но ключ, в отличие от загрузчика, вычисляется как sha256 от имени сервера (sha256(‘arnoldfreeteacher.com’ == ‘xb0x3fx99x53xa3x92xc1x3ax70x76xf8xc9xaaxcex2cxafx5ex7dxb5x2cxc0x18x61x55x56x61x54x86x49x68xf5xa8»). В последних четырех байтах расшифрованного ответа хранится размер данных без учета выравнивания.

Троян Arnold похож на банкера TwoBee и тоже подменяет платежные данные в файлах .txt
Малварь получает файл конфигурации

Основная библиотека бота (replacement.dll) отвечает за работу с файлом 1c_to_kl.txt и вносит в него изменения. Но если TwoBee просто искал на компьютере файлы с определенным именем, то Arnold получает путь к нужному файлу в результате перехвата API функций CreateFileA и CreateFileW в процессах chrome.exe, firefox.exe, javaw.exe, jp2launcher.exe, cbmain.ex, iexplore.exe, _cbank.exe, clbank.exe. Причем для Arnold имя файла не имеет значения, главное — наличие подстроки «.txt» в полном пути к файлу. Если содержимое открытого файла удовлетворяет необходимым условиям, троян создаст его копию в директории %TEMP%, заменит реквизиты и «вернет» обратно.

Троян Arnold похож на банкера TwoBee и тоже подменяет платежные данные в файлах .txt
Расшифрованный файл конфигурации

Исследователи заключают, что, несмотря на сходство с TwoBee, Arnold имеет больше общего с малварью Fibbit. Специалисты полагают, что обоими вредоносами может управлять одна преступная группа. В ближайшем будущем специалисты прогнозируют активное развитие Arnold, в том числе и заимствование части функций модульного трояна Fibbit.

В качестве временного решения для защиты от текущей версии малвари пользователям учетных систем рекомендуется использовать имя файла экспорта платежных поручений, в имени или расширении которого отсутствует сочетание «.txt».

Фото: «Лаборатория Каспеского», Depositphotos