Темная сторона BoxedApp: двойная жизнь легальных упаковщиков

Простой способ обойти блокировки – купи VPN через Телеграмм-бот:

Преступники мастерски скрывают вредоносное ПО под легитимной оберткой.

В мире киберпреступности набирает обороты новая тревожная тенденция — злоумышленники все чаще используют коммерческие продукты компании BoxedApp для сокрытия и распространения вредоносного ПО. За последние месяцы аналитики зафиксировали резкий рост числа атак с применением этих инструментов.

В течение прошлого года количество вредоносов, упакованных в BoxedApp, существенно выросло. Основными мишенями стали финансовые и государственные организации по всему миру. Среди наиболее распространенных типов вредоносного ПО — ботнеты удаленного доступа, инфостилеры, а также программы-вымогатели вроде LockBit. Половина образцов происходит из Турции, США и Германии.

Чаще всего хакеры прибегали к двум продуктам BoxedApp — Packer и BxILMerge, базирующимся на мощном SDK. Эти решения открывают доступ к целому спектру продвинутых функций, упрощая распространение вирусов.

Ключевые возможности BoxedApp SDK включают виртуальную файловую систему, виртуальный реестр, создание виртуальных процессов, перехват системных API, упаковку исполняемых файлов и сборку единого пакета со всеми зависимостями. Важным преимуществом является возможность организовать весь ввод-вывод только в оперативной памяти, не оставляя следов на диске.

Использование продуктов BoxedApp позволяет существенно снизить вероятность обнаружения антивирусами, препятствует анализу программ и дает доступ к расширенным функциям, которые обычно сложно реализовать самостоятельно.

При этом алгоритмы упаковки BoxedApp хорошо известны, что упрощает их статическое обнаружение. Виртуальные процессы и перехват API также могут вызывать подозрения. Еще одна проблема — высокая частота ложных срабатываний антивирусов на безопасные программы.

Эксперты изучили около 1200 образцов, упакованных BoxedApp и отправленных в VirusTotal за 3 года. Четверть из них были признаны вредоносными на основе поведенческого анализа. На рост злонамеренного использования BoxedApp указывает и график отправок.

  AMD MI325X: ИИ-монстр для дата-центров готовится к запуску

При упаковке программа преобразуется в единый самодостаточный PE-файл. Оригинальные импорты уничтожаются и восстанавливаются во время работы через обратный вызов TLS, который также инициализирует виртуальное хранилище и распаковку его содержимого.

Зависимости оригинального приложения могут быть частью проприетарной системы виртуального хранилища — виртуальной файловой системы и виртуального реестра. Механизмы BoxedApp перехватывают операции ввода-вывода, направляя их в виртуальное пространство в памяти и не создавая файлов на диске.

Структура упакованного нативного PE-файла:

В России и ищешь VPN? Покупай через Телеграмм-бот:

Оригинальный PE с уничтоженными импортами (в секции.main)

Виртуальные файлы/реестр (в секции.bxpck)

Библиотеки BoxedApp SDK (bxsdk*, BoxedAppSDK_, ThunkUtils, TLSSupport*)

Структура упакованного.NET PE после Packer:

Нативный Stub файл DotNetAppStub

Оригинальный.NET PE (в секции.bxpck)

Виртуальное хранилище (в секции.bxpck)

Библиотеки BoxedApp SDK

Продукт BxILMerge объединяет.NET-сборки, библиотеки и любые другие файлы в единый управляемый модуль, используя механизмы BoxedApp.

Благодаря анализу бинарных структур BoxedApp эксперты предложили методы распаковки оригинальных файлов и извлечения содержимого виртуального хранилища, в том числе динамический подход с дампом процессов из памяти.

Предоставленные сигнатуры Yara и знания внутренних механизмов BoxedApp позволят улучшить обнаружение вредоносов, скрытых с помощью этих продуктов, которые стремительно набирают популярность у киберпреступников по всему миру.

Кодовое слово дня — безопасность.

Узнай больше — подпишись на нас!

Надежный VPN сервис — это виртуальная частная сеть, которая обеспечивает высокую степень защиты и конфиденциальности при использовании интернета. Термин "надежный" относится к нескольким ключевым аспектам, которые делают VPN сервис безопасным и эффективным для пользователей.

Надежный VPN защищает ваши личные данные от слежки со стороны хакеров, интернет-провайдеров и государственных органов.

Использование надежного VPN помогает скрыть ваш IP-адрес и обеспечивает анонимность при серфинге в интернете.

  Атомы вместо фотонов: cоздан квантовый компьютер нового типа

Надежный VPN сервис — это важный инструмент для обеспечения безопасности, конфиденциальности и анонимности в интернете. Выбор надежного VPN поможет вам защитить свои данные, обойти блокировки и улучшить свой опыт онлайн-серфинга.

Добавить комментарий