Кибершпионы Sticky Werewolf решили почистить компании в Беларуси под видом загрузки CCleaner

Кибершпионская APT-группа Sticky Werewolf, вероятно, попыталась атаковать белорусские компании, рассылая под видом программы для очистки и оптимизации компьютера CCleaner6.20 троян удаленного доступа Ozone RAT. Напомним, что в конце января в России перестали работать антивирус Avast и программа очистки CCleaner — по этой причине старые чешские программы стали опять на слуху, чем решили, видимо, воспользоваться атакующие.

В пятницу, 9 февраля, с разницей в 5 минут на платформу VirusTotal были загружены сначала вредоносная ссылка, а затем самораспаковывающийся архив (SFX), скачиваемый по ней. Так как ссылка и SFX-архив были загружены из одного источника, аналитики полагают, что потенциальная цель атаки Sticky Werewolf может располагаться в Республике Беларусь.

Исследователей из департамента Threat Intelligence компании F.A.C.C.T. привлек необычно большой размер скачиваемого файла — 75.79 МБ. Дело в том, что на этот раз в качестве приманки использовался не легковесный документ, а установщик CCleaner — программы для очистки и оптимизации Windows, который и увеличил размер SFX-архива.

Сам SFX-архив с именем ccleaner_downloads.exe был подготовлен в NSIS Installer и, помимо вышеупомянутого установщика CCleaner, содержит SFX-архив ChemExamples.exe, подготовленный в 7z. В нем — различные файлы, среди которых обфусцированный AutoIt-скрипт и обфуцированный BAT-файл, собирающий из остальных файлов легитимный интерпретатор AutoIt. После запуска AutoIt-скрипта в память процесса ipconfig.exe внедряется вредоносная программа, представляющая из себя модуль загрузки трояна удаленного доступа Ozone RAT.

Напомним, что Sticky Werewolf — это кибершпионская группа, атакующая госучреждения и финансовые компании в России и Белоруссии. В качестве