قام باحثو الأمن السيبراني بتفصيل الإجراءات الداخلية لمحمل مراوغ للغاية يسمى " in2al5d p3in4er " (اقرأ: طابعة غير صالحة) التي تستخدم لتقديم البرامج الضارة لسرقة معلومات Aurora.
قالت شركة الأمن السيبراني Morphisec في تقرير مشترك مع The Hacker News: "تم تجميع أداة التحميل in2al5d p3in4er باستخدام Embarcadero RAD Studio وتستهدف محطات عمل نقطة النهاية باستخدام تقنية متقدمة لمكافحة VM (آلة افتراضية)" .
Aurora عبارة عن أداة سرقة معلومات تعتمد على Go ظهرت في مشهد التهديدات في أواخر عام 2022. تم تقديمها كبرنامج ضار سلعي لممثلين آخرين ، ويتم توزيعها من خلال مقاطع فيديو YouTube ومواقع تنزيل البرامج المتصدعة المزيفة والمزيفة التي تعمل على تحسين محركات البحث.
يؤدي النقر فوق الروابط الموجودة في أوصاف مقاطع فيديو YouTube إلى إعادة توجيه الضحية إلى مواقع الويب الخادعة حيث يتم إغراؤها لتنزيل البرامج الضارة تحت زي أداة مساعدة تبدو مشروعة.
تم تصميم أداة التحميل التي تم تحليلها بواسطة Morphisec للاستعلام عن معرف البائع لبطاقة الرسومات المثبتة على النظام ، ومقارنتها بمجموعة من معرفات البائعين المسموح بها (AMD أو Intel أو NVIDIA). إذا لم تتطابق القيمة ، فسيقوم المُحمل بإنهاء نفسه.
يقوم المُحمل في النهاية بفك تشفير الحمولة النهائية ويحقنها في عملية شرعية تسمى "sihost.exe" باستخدام تقنية تسمى عملية التفريغ . بدلاً من ذلك ، تخصص بعض عينات المحمل أيضًا ذاكرة لكتابة الحمولة التي تم فك تشفيرها واستدعاءها من هناك.
قال الباحثان الأمنيان Arnold Osipov و Michael Dereviashkin: "أثناء عملية الحقن ، تقوم جميع عينات اللودر بحل واجهات Win API الضرورية ديناميكيًا وفك تشفير هذه الأسماء باستخدام مفتاح XOR: 'in2al5d p3in4er".
جانب آخر مهم في أداة التحميل هو استخدامه Embarcadero RAD Studio لإنشاء ملفات تنفيذية لمنصات متعددة ، وبالتالي تمكينه من التهرب من الاكتشاف.
وقالت شركة الأمن السيبراني الإسرائيلية: "يتم تجميع تلك التي لديها أقل معدل اكتشاف على VirusTotal باستخدام 'BCC64.exe' ، وهو مترجم C ++ جديد قائم على Clang من Embarcadero" ، مشيرة إلى قدرتها على التهرب من صناديق الحماية والآلات الافتراضية.
"يستخدم هذا المترجم قاعدة تعليمات برمجية مختلفة مثل 'Standard Library' (Dinkumware) و 'Runtime Library' (compiler-rt) وينشئ رمزًا محسنًا يغير نقطة الإدخال وتدفق التنفيذ. يؤدي هذا إلى كسر مؤشرات بائعي الأمان ، مثل التوقيعات مؤلف من "كتلة تعليمات برمجية ضارة / مشبوهة."
باختصار ، تُظهر النتائج أن الجهات الفاعلة في التهديد وراء in2al5d p3in4er تستفيد من أساليب الهندسة الاجتماعية لحملة عالية التأثير تستخدم YouTube كقناة لتوزيع البرامج الضارة وتوجه المشاهدين إلى مواقع ويب مزيفة تبدو مقنعة لتوزيع البرامج الضارة المخترقة.
يأتي هذا التطوير في الوقت الذي اكتشفت فيه Intel 471 أداة تحميل برامج ضارة أخرى AresLoader يتم تسويقها مقابل 300 دولار شهريًا كخدمة للممثلين الإجراميين لدفع سارق المعلومات المتخفين في زي برامج شائعة باستخدام أداة الموثق. يُشتبه في تطوير اللودر من قبل مجموعة لها صلات بالقرصنة الروسية.
انتشرت بعض عائلات البرامج الضارة البارزة باستخدام AresLoader منذ يناير 2023 وتشمل Aurora Stealer و Laplas Clipper و Lumma Stealer و Stealc و SystemBC .