Een nieuwe krijger heeft de ring betreden
Vorige week publiceerde ik mijn blog“Kekw blijft evolueren” waarin ik beschreef hoe de Kekw-malware werd verspreid via trojaanse tools op GitHub waar een kwaadaardig PyPi-pakket werd gedownload en uitgevoerd om allerlei informatie te stelen van de gebruiker die de tool uitvoert.
Terwijl ik aan die blog werkte, merkte ik op 28 mei dat een ander GitHub account (Sammy3003) verschillende nieuwe repositories uploadde die identiek waren aan degene die eerder geanalyseerd waren.
Het account werd aangemaakt op 13 maart 2021 zonder activiteit tot januari 2023, toen twee niet-malafide repositories werden aangemaakt. Eén bevatte verschillende, maar identieke, sjabloonbestanden voor een cv, de andere repository bevatte het GitHub config bestand van het account.
Met geen extra activiteit tot eind mei, is dit GitHub account waarschijnlijk gecompromitteerd en wordt het nu gebruikt voor kwaadaardige doeleinden.
De bedreigingsacteur uploadt 5 opslagplaatsen:
-Tron-Sweeper
-Twitter-Follow-Bot
-Telegram-Massa-DM
-Bitcoin-Wallet-Finder
-Discord-Mass-DM
Behalve “Tron-Sweeper”, waren de andere repositories ook aanwezig in de GitHub accounts die in mijn vorige blog geanalyseerd zijn.
De opdracht om extra kwaadaardige code te downloaden wordt verborgen door deze uit het zicht te plaatsen, tenminste als de tekst niet is ingepakt.
-De groene rechthoek toont alleen legitieme invoer (onthoud dit voor later)
-De rode rechthoek toont de volledige horizontale schuifbalk
-De blauwe rechthoek laat zien dat het schuifvak erg klein is vergeleken met de schuifbalk
Wat kan de reden zijn dat het scrolvak zo klein is?
Als we de code doornemen, is er niets dat dit gedrag zou kunnen verklaren, zoals een erg lang base64 gecodeerd commando of code versleuteld met Fernet zoals in mijn vorige blog.
Als je overschakelt naar de “onbewerkte” codemodus, is eindeloos scrollen niet nodig omdat de kwaadaardige code die een tweede fase downloadt onmiddellijk zichtbaar wordt.
Vergelijk de code in de groene rechthoek van de schermafbeelding hierboven met de code die wordt weergegeven in de onbewerkte modus.
Dat was vrij eenvoudig! Het lijkt erop dat het Python-script een script downloadt en uitvoert dat wordt opgehaald van hxxps://bananasquad[.]ru/paste.
Als we de website analyseren met VirusTotal op 28 mei, krijgen we een schone lei.
Op vrijdag 2 juni is de URL al door zeven leveranciers gemarkeerd als kwaadaardig.
Als we wat informatie over het domein opzoeken, zien we dat bananasquad[.]ru slechts enkele weken geleden geregistreerd is. Om precies te zijn, twee weken voordat de repositories werden geüpload op het GitHub account van Sammy3003.
Laten we de whois-records van kekwltd[.]ru en bananasquad[.]ru vergelijken.
Het domein kekwltd[.]ru werd gebruikt in de malwarevoorbeelden die in de vorige blog werden geanalyseerd en verklaart hoe de malware zijn naam heeft gekregen.
Het nieuwe domein bananasquad[.]ru wordt gebruikt in dit malwarevoorbeeld en heeft de titel van deze blog geïnspireerd.
Whois-bestand voor kekwltd.ru
Whois-bestand voor bananasquad.ru
Beide domeinen zijn geregistreerd door een “privépersoon”, beide gebruiken Cloudflare als nameserver en beide zijn geregistreerd bij dezelfde registrar. R01-RU is de eerste geaccrediteerde registrar in het nationale domein RU, volgens hun eigen website en ze beweren een van de leiders te zijn in .RU-, .SU- en .РФ-domeinen.
Laten we eens kijken wie je echt bent
Met behulp van urlscan.io is het mogelijk om het script van de bananasquad URL op te halen. Op het eerste gezicht lijkt het erg op wat we eerder hebben gezien in de blog “Kekw blijft evolueren”. Als je die blog nog niet hebt gelezen, lees hem dan even door om er zeker van te zijn dat je weet waar het over gaat.
Nadat we er wat dieper naar gekeken hebben, kunnen we zien dat de code grotendeels overeenkomt met de laatste versie van het PyPi pakket syssqlitedbpackageV1. De laatste 16 regels van de code van syssqlitedbpackageV1 zijn echter niet meer aanwezig.
Linkerzijde: syssqlitedbpackageV1
Rechterzijde: bananasquad[.]ru/paste
Het versleutelde Fernet-commando keert ook terug in deze nieuwe versie. Vanwege de lengte van het commando is het weggelaten uit de codevergelijking hierboven.
Laten we eens kijken wat we kunnen vinden als we het Fernet commando ontcijferen.
Nogmaals, het script dat we krijgen na het decoderen is grotendeels hetzelfde. Het bevat alleen wijzigingen om het nieuwe domein weer te geven, evenals nieuwe cryptoadressen voor de cryptovervangfunctionaliteit.
Wijzigingen in de code voor het nieuwe domein en verwijdering van andere kekw-verwijzingen in de code:
Wijzigingen aan de crypto-adressen die gebruikt worden om gekopieerde crypto-adressen door het slachtoffer te vervangen:
De bedreigende actor is zelfs te lui om het versienummer te veranderen:
Het account Sammy3003 wordt verwijderd door GitHub binnen 72 uur na het uploaden van de kwaadaardige repositories.
Volg het geld
Bij het analyseren van de cryptoadressen voor geld dat binnenkomt of uitgaat, zijn er slechts een paar transacties voor de Bitcoin- en Ethereum-adressen. Datum laatste controle: 2 juni 2023.
Geen transacties op Monero, Cardano of Dash.
Bitcoin (bc1qlxay4saq3tjv79yqc6devlty6jfgjnalgmhu2a)
-0.8058667 BTC is ontvangen op 17 mei
-0,02486524 wordt verzonden op 17 mei
-0.02491276BTC is verzonden op 17 mei
-0.03009624BTC is verzonden op 17 mei
-0.00071243BTC is verzonden op 29 mei
De transactie op 29 mei springt eruit, ook al is het het kleinste bedrag. Als we die transactie volgen, wordt het geld na verschillende hops naar het Bitcoin-adres 37jAAWEdJ9D9mXybRobcveioxSkt7Lkwog gestuurd. Via OSINT kunnen we vaststellen dat deze portemonnee behoort tot de cryptobeurs ChangeNow.io.
Ethereum (0x69b2bba5dc9d0f68ce0ae98395f72cefad7e543a)
-1.23ETH is ontvangen op 20 mei
-1.23ETH wordt verzonden op 29 mei
Opnieuw zien we een uitgaande transactie op 29 mei. Laten we de transactie volgen naar de portemonnee waarnaar het is verzonden (0x69b2bba5dc9d0f68ce0ae98395f72cefad7e543a). 5 minuten nadat het geld is overgemaakt, wordt het opnieuw naar een andere portemonnee gestuurd. Deze keer gaat het naar 0x077d360f11d220e4d5d831430c81c26c9be7c4a4. Deze portemonnee bevat veel geld en heeft veel transacties gedaan in zijn leven. Met behulp van OSINT kunnen we deze portemonnee weer koppelen aan dezelfde crypto-uitwisseling (ChangeNow.io) als bij de Bitcoin-geldstroom.
Het lijkt erop dat de bedreigende actor deze beurs gebruikt om gestolen valuta te verzamelen.
Conclusie
Omdat deze GitHub account en rebranded malware van korte duur was en kleiner in aantal als het gaat om GitHub accounts en repositories, is de gestolen hoeveelheid cryptovaluta ook veel minder in vergelijking met de Kekw variant.
Op basis van de analyse in deze blog vermoed ik dat dit dezelfde bedreigende actor is en niet een andere bedreigende actor die dezelfde malware gebruikt die is gekocht van een Malware-as-a-Service-leverancier.
