Veil#Drop wykorzystuje Blogspot do dostarczania malware i wdrażania PureLog Stealer - Security Bez Tabu

Veil#Drop wykorzystuje Blogspot do dostarczania malware i wdrażania PureLog Stealer

Cybersecurity news

Wprowadzenie do problemu / definicja

Veil#Drop to wieloetapowy framework dostarczania złośliwego oprogramowania, zaprojektowany do infekowania stacji roboczych z użyciem socjotechniki, skryptów JavaScript, PowerShell oraz technik fileless. Wyróżnikiem kampanii jest wykorzystanie zaufanej infrastruktury chmurowej do hostowania kolejnych etapów ataku, co utrudnia wykrycie i zwiększa skuteczność omijania tradycyjnych mechanizmów ochronnych.

W skrócie

Łańcuch infekcji rozpoczyna się od pliku JavaScript podszywającego się pod dokument. Po jego uruchomieniu skrypt wywołuje PowerShell, który pobiera kolejne komponenty z zasobów hostowanych na Blogspot. Następne etapy obejmują wyświetlenie dokumentu-wabika, dekodowanie ukrytych danych, uruchamianie kodu bezpośrednio w pamięci oraz nadużycie legalnych narzędzi systemowych.

Finalnym payloadem jest PureLog Stealer, czyli infostealer kradnący dane z przeglądarek, portfeli kryptowalut, komunikatorów, klientów poczty, narzędzi zdalnego dostępu, aplikacji chmurowych i menedżerów haseł.

Kontekst / historia

Współczesne kampanie infostealerów coraz częściej odchodzą od prostych, jednoplikowych infekcji. Zamiast pojedynczego pliku wykonywalnego operatorzy budują modułowe łańcuchy, w których każdy etap pełni odrębną funkcję: inicjalne uruchomienie, pobranie kolejnych komponentów, ukrycie aktywności, utrudnienie analizy i wdrożenie właściwego malware.

Veil#Drop wpisuje się w ten trend. Kampania łączy kompromitowane lub kontrolowane zasoby internetowe z technikami living-off-the-land oraz pamięciowym uruchamianiem komponentów .NET. Takie podejście ogranicza liczbę artefaktów pozostawianych na dysku i zmniejsza skuteczność zabezpieczeń opartych wyłącznie na sygnaturach lub reputacji domen.

Analiza techniczna

Pierwszy etap ataku wykorzystuje plik JavaScript udający dokument, którego celem jest skłonienie użytkownika do wykonania kodu. Skrypt uruchamia PowerShell w sposób pomagający ominąć polityki wykonania i rozpocząć pobieranie dalszych elementów łańcucha infekcji.

Następnie PowerShell pobiera payloady z zasobów hostowanych na Blogspot. Wykorzystanie popularnej i powszechnie uznawanej usługi utrudnia filtrowanie ruchu wyłącznie na podstawie reputacji domeny, szczególnie w środowiskach dopuszczających szeroki dostęp do usług chmurowych bez głębokiej inspekcji treści.

Pobrany komponent wyświetla dokument-wabik, aby obniżyć czujność użytkownika i stworzyć wrażenie normalnego działania pliku. Równolegle malware wykonuje czynności przygotowawcze, takie jak kończenie wybranych procesów, dekodowanie osadzonych danych oraz generowanie kolejnych adresów używanych w dalszych etapach ataku.

Istotną częścią kampanii są zakodowane ładunki .NET przechowywane jako duże bloby danych. Komponenty te są rekonstruowane i odszyfrowywane dopiero podczas działania próbki, co znacząco utrudnia analizę statyczną. Dodatkowo moduły są ładowane refleksyjnie i wykonywane bezpośrednio w pamięci, co ogranicza ślady na dysku.

Badacze zwracają także uwagę na wykorzystanie podpisanych binariów systemowych, czyli klasyczny LOLBIN abuse. Tego typu technika pozwala uruchamiać złośliwy kod przy użyciu legalnych narzędzi obecnych w systemie operacyjnym, przez co odróżnienie aktywności napastnika od działań administracyjnych staje się trudniejsze.

Ostatecznie na urządzeniu ofiary uruchamiany jest PureLog Stealer. Malware prowadzi rekonesans systemu, a następnie wykrada poświadczenia, cookies, dane autouzupełniania, tokeny sesyjne i historię przeglądania. Celem są między innymi przeglądarki Chrome, Edge, Firefox, Brave, Opera i inne rozwiązania bazujące na Chromium. Zagrożenie zbiera też informacje z portfeli kryptowalut, komunikatorów, klientów pocztowych, aplikacji chmurowych, klientów FTP, narzędzi deweloperskich, oprogramowania do zdalnego dostępu i menedżerów haseł, po czym pakuje dane i przesyła je do infrastruktury kontrolowanej przez operatorów kampanii.

Konsekwencje / ryzyko

Ryzyko związane z Veil#Drop wykracza poza pojedynczą infekcję endpointu. Infostealer taki jak PureLog może zapewnić atakującym dostęp do haseł, tokenów sesyjnych, danych dostępowych do usług SaaS, konfiguracji narzędzi administracyjnych oraz sekretów zapisanych w przeglądarkach.

W środowisku firmowym oznacza to możliwość szybkiego rozszerzenia incydentu. Przejęte dane mogą zostać użyte do ataków na pocztę, VPN, panele administracyjne, środowiska chmurowe czy systemy deweloperskie. W praktyce infostealery bardzo często stanowią etap początkowy przed szerszym naruszeniem, obejmującym kradzież danych, oszustwa BEC, wdrożenie ransomware lub długotrwałą obecność w infrastrukturze ofiary.

Szczególnie groźne jest połączenie kilku elementów: użycia zaufanej infrastruktury do hostowania payloadów, uruchamiania kodu w pamięci, ograniczonej liczby artefaktów na dysku oraz nadużywania legalnych narzędzi systemowych. Taka kombinacja może obniżać skuteczność tradycyjnych metod detekcji.

Rekomendacje

Organizacje powinny wdrożyć wielowarstwowe podejście do ochrony przed podobnymi kampaniami. Priorytetem jest ograniczenie możliwości uruchamiania skryptów JavaScript pobranych z poczty lub internetu oraz zaostrzenie polityk dotyczących interpretera skryptowego i PowerShell.

  • Monitorować nietypowe łańcuchy procesów, zwłaszcza uruchomienie PowerShell z poziomu skryptów lub aplikacji użytkownika.
  • Włączyć szczegółowe logowanie aktywności PowerShell i centralną analizę zdarzeń telemetrycznych.
  • Wykrywać nadużycia LOLBIN oraz anomalie w użyciu podpisanych binariów systemowych.
  • Analizować procesy uzyskujące dostęp do magazynów haseł przeglądarek, plików cookies i tokenów sesyjnych.
  • Monitorować połączenia do usług chmurowych inicjowane przez procesy, które standardowo nie pobierają treści wykonywalnej.
  • Po wykryciu infekcji szybko rotować poświadczenia i unieważniać aktywne sesje użytkowników.

Dla użytkowników końcowych kluczowe pozostaje zachowanie ostrożności wobec plików udających dokumenty, zwłaszcza tych z nietypowymi rozszerzeniami lub podejrzanym zachowaniem po uruchomieniu. Samo wyświetlenie poprawnego dokumentu nie oznacza, że w tle nie został uruchomiony malware.

Podsumowanie

Veil#Drop pokazuje, że nowoczesne kampanie malware skutecznie łączą socjotechnikę, zaufaną infrastrukturę chmurową, techniki fileless i nadużycie legalnych narzędzi systemowych. Taka architektura zwiększa skuteczność dostarczenia payloadu i jednocześnie utrudnia zarówno detekcję, jak i analizę incydentu.

Dla organizacji najważniejszy wniosek jest jednoznaczny: infekcji infostealerem nie wolno traktować jako incydentu niskiej wagi. Kradzież danych z pojedynczej stacji roboczej może szybko doprowadzić do kompromitacji kont, sesji i systemów w całym środowisku.

Źródła

  • SecurityWeek — Blogspot-Hosted Payloads Delivered in ‘Veil#Drop’ Attacks — https://www.securityweek.com/blogspot-hosted-payloads-delivered-in-veildrop-attacks/
  • Securonix Threat Research — Veil#Drop — https://www.securonix.com/