Дроппер

Дро́ппер (англ. Dropper — «бомбосбрасыватель») — специальный вид программы, который используется злоумышленниками для внедрения вредоносного программного обеспечения на компьютер пользователя. Основная цель дропперов заключается в подготовке инфраструктуры для дальнейших атак или создания условий для работы более сложных вредоносных программ, например скачивание дополнительных модулей с удалённых серверов, распаковка скрытых файлов из собственного архива или активация заложенных в систему компонентов^[1].

Описание

Несмотря на сравнительно небольшие размеры (в среднем 60-100 кб), современные вредоносные программы часто состоят из нескольких модулей, каждый из которых отвечает за определённые функции. Одним из таких модулей является дроппер, который может быть как самостоятельным файлом, так и частью более сложной вредоносной угрозы^[2].

Сам по себе дроппер не является опасным, но вредоносное ПО, которое он разворачивает, может причинить серьёзный ущерб компьютеру или устройству. Атаки троянов начинаются с загрузки и установки предположительно легального программного обеспечения, после чего оно запускает вредоносное ПО^[2].

Дроппер представляет собой механизм, обеспечивающий извлечение, распаковку и установку основных компонентов вируса или трояна в операционной системе. Эти компоненты могут быть размещены дроппером либо в определенной папке на жёстком диске, либо загружены напрямую в оперативную память. Основная цель дроппера — успешно сохранить все части вредоносного приложения в атакуемой системе, при необходимости зарегистрировать их для автозапуска и передать управление этим компонентам^[2].

Примером могут служить распространённые трояны семейства MulDrop — это специализированные трояны-дропперы, чья единственная задача заключается в установке другого трояна на заражённый компьютер. Этот дополнительный троян хранится внутри контейнера Trojan.MulDrop, как правило, в сжатом и зашифрованном виде (подобно матрёшке, где одна фигурка помещена внутри другой). Важное отличие Trojan.MulDrop от троянов загрузчиков (Trojan.Download) заключается в том, что он не скачивает «полезную нагрузку» из интернета, а извлекает её из собственных ресурсов^[3].

Типы

Дропперы подразделяются на два основных типа:

Первый называется устойчивым дроппером. После установки на компьютер пользователя он скрывается в системе и, даже если его обнаружат и удалят, имеет возможность автоматически восстановиться и повторно активироваться
Второй тип — неустойчивый дроппер. После выполнения своей задачи по установке вредоносной нагрузки такой дроппер удаляется, чтобы не оставлять следов своего существования в операционной системе жертвы. Это позволяет избежать обнаружения и анализа программы^[4].

Методы распространения

Дроппер может попасть на компьютер жертвы различными способами:

Пользователь получает электронное письмо, содержащее ссылку на внешний сайт, где рекламируется якобы полезная программа, обещающая ускорить работу операционной системы
На сторонних ресурсах может появиться предупреждение о заражении операционной системы вирусами, сопровождаемое предложением немедленно скачать «новый антивирус» для удаления этих угроз
При скачивании программного обеспечения с торрент-ресурсов вместе с файлами часто присутствуют кейгены или крякеры для взлома лицензионных версий. Подобные утилиты нередко скрывают в себе троянские программы
В магазинах приложений для операционных систем на базе Android встречаются поддельные приложения, имитирующие популярные программы. Однако вместо заявленного функционала они могут быть дропперами
Установка бесплатного программного обеспечения с неофициальных сайтов представляет значительный риск заражения компьютера различными вредоносными программами^[4].

Примеры атак с использованием дропперов

Весной 2021 года была обнаружена широкомасштабная атака, связанная с распространением троянского дроппера. Данная вредоносная программа предназначена для скрытного запуска дополнительных зловредов на устройстве жертвы. Дроппер, получивший название Swarez, маскировался под пиратские версии 15 популярных видеоигр. Попытки скачивания таких файлов были зафиксированы в 45 странах мира, включая Россию. Среди игр, использованных в качестве приманки, оказались такие известные проекты, как Among Us, Battlefield 4, Battlefield V, Control, Counter-Strike: Global Offensive, FIFA 21, Fortnite, Grand Theft Auto V, Minecraft, NBA 2K21, Need for Speed Heat, PLAYERUNKNOWN’S BATTLEGROUNDS, Rust, The Sims 4 и Titanfall 2^[5].

Вредоносное ПО распространялось через ZIP-архив, содержащий запароленный файл того же формата и текстовый документ с паролем для его открытия. После запуска дроппера происходила расшифровка и активация трояна стилера Taurus. Этот зловред обладает разнообразными возможностями: он способен красть cookies, сохранённые пароли, данные из форм автозаполнения браузеров, информацию о системе, файлы формата .txt с рабочего стола, а также делать скриншоты экрана. Кроме того, Taurus может похищать данные с криптокошельков пользователей^[5].

Примечания

↑ Троянец-дроппер (неопр.). Securitylab.ru. Дата обращения: 8 февраля 2025.
↑ ^{Перейти обратно: 2,0} ^2,1 ^2,2 What is Trojan Dropper? How to Get Rid of It? (неопр.). Malwarefox. Дата обращения: 8 февраля 2025.
↑ Холмогоров В. PRO вирусы. — СПб.: Страта, 2020. — С. 171. — 234 с. — ISBN 978-5-907314-12-2.
↑ ^{Перейти обратно: 4,0} ^4,1 Дроппер (неопр.). trust-space.ru. Дата обращения: 8 февраля 2025.
↑ ^{Перейти обратно: 5,0} ^5,1 Троянец вместо игры: «Лаборатория Касперского» обнаружила схему распространения зловреда под видом популярных видеоигр (неопр.). Kaspersky (25 августа 2021). Дата обращения: 8 февраля 2025.

[1] Троянец-дроппер (неопр.). Securitylab.ru. Дата обращения: 8 февраля 2025.

[:1-2] {Перейти обратно: 2,0} ^2,1 ^2,2 What is Trojan Dropper? How to Get Rid of It? (неопр.). Malwarefox. Дата обращения: 8 февраля 2025.

[3] Холмогоров В. PRO вирусы. — СПб.: Страта, 2020. — С. 171. — 234 с. — ISBN 978-5-907314-12-2.

[:0-4] {Перейти обратно: 4,0} ^4,1 Дроппер (неопр.). trust-space.ru. Дата обращения: 8 февраля 2025.

[:2-5] {Перейти обратно: 5,0} ^5,1 Троянец вместо игры: «Лаборатория Касперского» обнаружила схему распространения зловреда под видом популярных видеоигр (неопр.). Kaspersky (25 августа 2021). Дата обращения: 8 февраля 2025.

[1]

[2]

[3]

[4]

[5]