Массовая рассылка блогерам, фишинговый сайт gk-brains ru, троян.

[ARMADA]

Доброго времени суток!

Файл отправленный для анализа был скачан с сайта https:// gk-brains ru/
Ссылка на данный сайт рассылается блогерам, с предложением о сотрудничестве.
Письмо отправлено с адреса *****@*****.tld

Я думаю это массовая рассылка, пожалуйста проанализируйте архив с сайта и файлы в нём, троян (а это 100% троян) содержится в "gb Договор на оказание рекламных услуг.scr", замаскирован под скринсейвер.

Пожалуйста добавьте в базу обнаружения, а так же методику лечения данной угрозы. Знакомый ютубер додумался скачать и запустить. Думаем что делать дальше.

 

Файл отправил для анализа через https://opentip.kaspersky.com/

9144716EDCA4A448BCA5E6CA103A7758B2F839280E128155F68D9BFC9A20EEDF

Возможно я не там создал тему, перенесите пожалуйста в верный раздел.

Очевидно что рассылка идёт прямо сейчас, и будет много жертв.

[AlexeyK]

@ARMADA Ссылка детектируется, файл тоже.

Очень смешно сказано про договор в формате scr.) Строго секретный и защищенный договор, в котором даже перед его заключением нельзя изменять содержимое.) Бедные блогеры.)

[ARMADA]

Люди творческие, что поделать ))

Приходится помогать.

[AlexeyK]

Ну это понятно.) На этом одностраничнике куча ошибок в тексте, ссылка на материалы "windows only" (что уже странно), несуществующая ссылка на лицензию, бред про зашифрованный договор... А как после этого всего помешает антивирус? Его же отключат и все - лезет, куда не следует со своими глупыми детектами.) Хозяин - барин, сам знает, что делает.)

Edited December 23, 2024 by AlexeyK

[AlexeyK]

  On 12/23/2024 at 2:07 PM, ARMADA said:

Думаем что делать дальше.

Expand  

Как минимум просканировать устройство при помощи KVRT и вылечить найденные угрозы. Другое дело, смотря что там за зловред, возможно, что какие-то данные уже утекли.

[ARMADA]

Да там всё кричит

"НЕ ЛЕЗЬ! ОНО ТЕБЯ СОЖРЁТ!!"

?

  On 12/23/2024 at 3:42 PM, AlexeyK said:

Как минимум просканировать устройство при помощи KVRT и вылечить найденные угрозы. Другое дело, смотря что там за зловред, возможно, что какие-то данные уже утекли.

Expand  

Это понятно, но всё же хочется анализ от профи.

Пока комп выключил, сидит с ноута везде пароли меняет.

[AlexeyK]

  On 12/23/2024 at 3:47 PM, ARMADA said:

всё же хочется анализ от профи

Expand  

Ничего другого антивирусы и утилиты не сделают. Если есть необходимость просканировать всю систему на наличие зловредных файлов и остатков, то это есть на форуме клуба со сборами логов и выполнением инструкций при необходимости лечения.

[ARMADA]

Спасибо!

Продублирую там. Видимо я форумом ошибся )

[AlexeyK]

  On 12/23/2024 at 4:11 PM, ARMADA said:

Продублирую там.

Expand  

Там не так устроено. Обязательно нужно собирать логи, соответственно и запускать ОС придется. Можете пролечить сначала с помощью KRD, только не забудьте включить доступ в сеть. Инструкцию по записи образа прочитайте до конца, там важные моменты.

Edited December 23, 2024 by AlexeyK

[Friend]

  On 12/23/2024 at 2:48 PM, AlexeyK said:

Очень смешно сказано про договор в формате scr.) Строго секретный и защищенный договор, в котором даже перед его заключением нельзя изменять содержимое.)

Expand  

Уже многие детектируют, кроме MS.
Сайт лучше блокировать через сервис Google, так больше шансов, что сайт будет заблокирован самим браузером при открытии.

[AlexeyK]

  On 12/23/2024 at 7:33 PM, Friend said:

Уже многие детектируют, кроме MS.

Expand  

Да не сказал бы, что многие.) Когда будет 60/70 - тогда многие.) Это специфичные, видимо, сайт и файл для русского сегмента, поэтому не все еще очнулись. Ну плюс детект на ВТ далеко не всегда равен детекту локально.

  On 12/23/2024 at 7:33 PM, Friend said:

Сайт лучше блокировать через сервис Google

Expand  

Да это же не фишинг, через форму по идее не прокатит.)

[AlexeyK]

Файл при запуске ловится эвристикой даже с базами двухмесячной давности и отключенной сетью.

[ARMADA]

Это всё хорошо, только антивирус был у него отключен. )

Сейчас вопрос в том, что оно наделало, что утекло, что заражено.

Подробнее мои ковыряния тут, по вашему совету.

https://forum.kasperskyclub.ru/topic/465343-massovaja-rassylka-blogeram-fishingovyj-sajt-gk-brains-ru-trojan/

[AlexeyK]

  On 12/23/2024 at 9:55 PM, ARMADA said:

что оно наделало, что утекло, что заражено.

Expand  

Как я понял, вредоносный код внедряется в легитимный процесс проводника. После запуска с отключенным АВ запустил быстрый скан, сразу результат в системной памяти. Ну и лечение активного заражения с ребутом справилось. Скрины ниже. Других детектирований не было.

Выше я сообщал, что ловится при запуске, но на самом деле он детектируется и удаляется даже до запуска, просто я запустил файл еще до окончания его фонового скана и удаления.

  Reveal hidden contents

 

[AlexeyK]

Если можно, еще комментарий о запуске с другим вендором, движок которого используется некоторыми другими производителями. На текущий момент файл им не детектируется по ВТ. После запуска с отключенной сетью через некоторое время сработала проактивка (active threat control), угроза обезврежена. В данном случае продукт ЛК имеет явное преимущество, т.к. детект до запуска (тут - с помощью эмулятора) всегда лучше, нежели после.?

  Reveal hidden contents

 

Edited December 24, 2024 by AlexeyK

[ARMADA]

Спасибо вам за изучение!

Если запустить без антивируса, и дать спокойно "поработать" - после не детектится в системе вообще ничем (кроме изначального файла), а всё же он там присутствует. в той теме описал, но не подробно. Сейчас разбираемся с поддержкой Касперского, не знаю, стоит ли выкладывать детали.  

[NikitaDob]

Это хорошо, что Kaspersky и другие антивирусы обнаруживают. Вопрос лишь в том, а сами блогеры-то антивирусами пользуются или же являются сторонниками подхода "живу 5 лет без антивируса и всё норм, антивирусы для лохов"...

[ARMADA]

Он у него установлен (касперский), но... он его отключил.

Говорю же - люди творческие, тут не про логику )

[ARMADA]

Окончание историии тут

https://forum.kasperskyclub.ru/topic/465343-massovaja-rassylka-blogeram-fishingovyj-sajt-gk-brains-ru-trojan/?do=findComment&comment=2212726&_rid=86475