CSPY Downloader

Der CSPY Downloader ist eine neue maßgeschneiderte Downloader-Malware, die als Teil des Arsenals der nordkoreanischen Hacker-Gruppe Kimsuky eingesetzt wurde. Der CSPY Downloader fungiert als Malware-Dropper der ersten Stufe, der die Malware-Nutzdaten der zweiten Stufe bereitstellt. Der CSPY Downloader führt auch eine breite Palette von Anti-Analyse- und Anti-Sandbox-Techniken aus, um jegliche Versuche zur Analyse der bedrohlichen Proben zu behindern.

Der CSPY Downloader wird über Phishing-E-Mails mit vergifteten Word-Dokumenten verbreitet. Das spezifische Dokument soll die Aufmerksamkeit des Zielbenutzers auf sich ziehen, indem es angibt, dass es ein Interview mit einem nordkoreanischen Überläufer enthält, in dem die Probleme des Lebens im Land erörtert werden. Nach der Ausführung werden die in das Dokument injizierten Bedrohungsmakros ausgelöst. Sie löschen den CSPY Downloader und führen ihn als Datei mit dem Namen 'winload.exe' auf dem Computer des Opfers aus.

Die 'winload.exe-Datei' ist mit UPX gepackt und ihr Zeitstempeldatum wurde auf den 30. Juli 2016 verschoben. Sie ist mit einem abgelaufenen Zertifikat signiert, das EGIS Co., Ltd zugeschrieben wird, einer Entität, die bereits mit dem Kimsuky-Hacker Gruppe verbunden ist.

Der CSPY-Downloader führt umfangreiche Anti-Analyse-Techniken durch

Bevor mit der Bereitstellung der Malware-Nutzdaten der zweiten Stufe fortgefahren wird, stellt der CSPY-Downloader sicher, dass sie nicht in einer Umgebung mit virtuellen Maschinen ausgeführt werden. Der Downloader führt einige der gleichen Überprüfungen durch, die die ersten Skripte aus dem bewaffneten Word-Dokument bereits durchgeführt haben, und zeigt, dass Hacker sich verpflichtet haben, ihre Malware-Tools geheim zu halten. CSPY führt einen Scan nach bestimmten virtualisierungsbezogenen Modulen, bestimmten Dateipfaden, Registrierungsschlüsseln und Speicher durch. Es überprüft auch den Prozess der PEB-Struktur. Wenn alle Scans keine Übereinstimmung finden, fährt der CSPY-Downloader mit der nächsten Programmierung fort. Andernfalls wird die Ausführung beendet.

Drei Dateien werden von CSPY auf dem gefährdeten Computer abgelegt - eine ausführbare Hauptdatei und zwei potenzielle Malware-Module. Alle drei Nutzdaten werden zunächst in den Ordner% temp% heruntergeladen, aber umbenannt und schnell an andere Speicherorte verschoben. Beim Initiieren der Hauptnutzlast für Malware versucht CSPY, diese als legitimen Windows-Dienst zu tarnen, indem der Schein behauptet, dass sie zur Unterstützung gepackter Anwendungen erforderlich ist. Um die bedrohliche Binärdatei mit erhöhten Berechtigungen auszuführen, verwendet der Downloader eine Technik, mit der der Windows-Benutzerkontensteuerungsdienst (UAC) durch Ausnutzen der SilentCleanup-Task umgangen werden kann.

Wenn der CSPY Downloader seine Aufgaben erledigt hat, löscht er sich einfach von der gefährdeten Maschine.