K získání citlivých informací využívá MontysThree malwarový program, který se skládá ze čtyř modulů. První – loader – se zpočátku šíří pomocí souborů RAR SFX (archivy schopné sebeextrakce), které obsahují jména ze seznamu zaměstnanců, technickou dokumentaci nebo lékařské zprávy. Jedná se tak o klasický příklad spear-phishingu, kterým se kyberzločinci snaží oklamat zaměstnance ke stažení souboru. Primárním cílem loaderu je zabránění detekce malwaru v systému. K tomu využívá techniku známou jako steganografie.

Steganografii kyberzločinci využívají k zamaskování skutečnosti, že dochází k výměně dat. V případě MontysThree je hlavní škodlivá komponenta maskovaná jako bitmapový soubor (formát pro ukládání digitálních obrázků). Po zadání správného příkazu použije loader vlastní algoritmus k dešifrování obsahu z pixelového pole a spustí tak škodlivý program.

Hlavní část malwaru využívá k obejití bezpečnostních opatření systému řadu vlastních šifrovacích technik, konkrétně používá algoritmus RSA k šifrování komunikace s řídicím serverem a k dešifrování hlavních „úkolů“ malwaru. Mezi ně spadá vyhledávání dokumentů se specifickými příponami a v konkrétních firemních adresářích. MontysThree je speciálně navržený k útokům na Microsoft a Adobe Acrobat, může ale také pořizovat snímky obrazovky a shromažďovat informace o síťovém nastavení, názvu počítače a jiné informace, na základě nichž vyhodnotí zajímavost cíle.

Shromážděné informace a další komunikace s řídicím serverem jsou následně hostovány na veřejných cloudových službách jako jsou Google, Microsoft nebo Dropbox. To ztěžuje detekci komunikačního provozu a jeho označení za škodlivý vzhledem k tomu, že tyto služby neblokuje žádný antivirový program. Díky tomu může řídicí server nerušeně provádět příkazy.

MontysThree také používá jednoduchou metodu pro získání trvalého přístupu do infikovaného systému – modifikovaný Windows Quick Launch. Uživatelé při použití nástroje Quick Launch sami neúmyslně spustí počáteční modul malwaru při každém spuštění legitimních aplikací, jako je například internetový prohlížeč.

„MontysThree je zajímavý nejen tím, že se zaměřuje na průmyslové firmy, ale také kombinací sofistikovaných a zároveň amatérských technik a postupů. Celkově se složitost útoku liší modul od modulu, i tak je ale nelze srovnat s nejpokročilejšími APT útoky. Hackeři však používají silné kryptografické standardy a přistupují k důvtipným opatřením, mezi které patří vlastní steganografie. Alarmující je především zjištění, že hackeři vyvinuli značné úsilí na vývoj vlastních nástrojů, z čehož usuzujeme, že ve svých útocích budou pokračovat,“ varuje Denis Legezo ze společnosti Kaspersky.

Více informací o kampani MontysThree se dozvíte na blogu Securelist.