Специалисты по кибербезопасности опубликовали отчёт о новой усовершенствованной версии трояна удалённого доступа (Remote Access Trojan, RAT) DesckVB, активно используемой в реальных атаках. Эта итерация вредоносного программного обеспечения, обозначенная как v2.9.0.0, отличается повышенной операционной стабильностью и уникальной модульной архитектурой на основе плагинов. Такой подход позволяет злоумышленникам гибко наращивать функционал уже после успешного проникновения в систему.
Описание
Для максимальной скрытности весь процесс инфицирования построен на бесфайловом методе выполнения кода, что затрудняет обнаружение традиционными антивирусными решениями. Атака начинается с файла JavaScript, запускаемого через Windows Script Host (WSH). Этот начальный полезный груз (payload) сильно обфусцирован. После запуска он копирует себя в каталог "C:\Users\Public\", повторно исполняется с помощью "wscript.exe" и динамически воссоздаёт скрипт на PowerShell.
Следующие этапы включают выполнение скриптов PowerShell, которые проводят проверку подключения к сети, например, пингуя домены Google, а также ищут признаки анализа, такие как отладчики. Убедившись в безопасности окружения, скрипт загружает извне фрагменты полезного кода, закодированные в десятичном формате, и собирает из них сборку .NET непосредственно в памяти компьютера. Финальная стадия использует загрузчик .NET, который исполняет основной модуль троянца с помощью метода "Assembly.Load()" и рефлексивного вызова. Критически важно, что исполняемый файл никогда не записывается на диск, что существенно усложняет его обнаружение и сбор цифровых улик.
После запуска DesckVB RAT расшифровывает свою конфигурацию для управления командным сервером (Command and Control, C2), извлекая IP-адрес, порт, имя мьютекса и флаги возможностей. Для связи используется собственный протокол поверх TCP. Несмотря на то, что инфраструктура C2 была неактивна во время исследования, аналитикам удалось реконструировать протокол, изучив исторические сетевые данные (PCAP). Коммуникация построена на использовании consistent delimiters (согласованных разделителей "||") и терминаторов сообщений ("#Sucess#"). Эта особенность является ключевой для защитников, поскольку позволяет выстраивать обнаружение на сетевом уровне даже при смене злоумышленниками серверной инфраструктуры.
Главная сила этого троянца заключается в его модульности. Основной компонент не содержит всех функций сразу, а запрашивает дополнительные библиотеки (DLL) с сервера управления по команде "RunPlugin||<BASE64_ENCODED_DLL>". Среди выявленных плагинов:
- DetectarAntivirus.dll: отвечает за перечисление установленных на компьютере жертвы продуктов безопасности и отчёт о них оператору.
- Keylogger.dll: реализует функцию кейлоггера (перехватчика нажатий клавиш), используя "SetWindowsHookEx" для низкоуровневого перехвата ввода, а также отслеживает буфер обмена и активные окна.
- Webcam.dll: использует библиотеку AForge (DirectShow) для захвата и потоковой передачи изображений с веб-камеры в формате JPEG. Модуль также пытается отключить светодиодный индикатор камеры через модификацию системного реестра.
- Ping_Net.dll: выполняет сетевые зондирования с помощью ICMP-запросов и может исполнять HTTP(S)-запросы на URL, указанные злоумышленником.
Отдельный интерес представляет анализ более старой "взломанной" версии конструктора вредоносного кода (builder) v2.6, проведённый в изолированной среде. Он подтвердил преемственность в структуре конфигурации и соглашениях об именовании с актуальными образцами v2.9. Более того, во всех изученных артефактах, включая метаданные и отладочные пути, постоянно встречается строка "Pjoao1578". Хотя это не позволяет однозначно установить авторство, такая метка явно указывает на общую цепочку инструментов или среду сборки. Подобные цифровые отпечатки крайне ценны для кластеризации угроз, позволяя аналитикам отслеживать эволюцию всего семейства вредоносных программ в различных кампаниях.
Появление этой усложнённой версии DesckVB RAT подчёркивает растущую тенденцию к модулизации и адаптивности современных угроз. Использование бесфайловых техник, поэтапного запуска и плагиновой архитектуры делает подобные троянцы особенно опасными и труднообнаруживаемыми. Специалистам по защите информации рекомендуется обратить внимание на сетевые сигнатуры, связанные с уникальным протоколом C2, и поведенческие аномалии, характерные для рефлексивной загрузки .NET-сборок в память.
Индикаторы компрометации
Domain Port Combinations
- manikandan83.mysynology.net:7535
URLs
- https://andrefelipedonascime1768785037020.1552093.meusitehostgator.com.br/.../01.txt
SHA256
- 347621f7a3392939d9bdbe8a6c9fda30ba9d3f23cb6733484da8e2993772b7f3
- a675f5a396de1fa732a9d83993884b397f02921bbcf34346fbed32c8f4053064
- affb29980bc9564f1b03fe977e9ca5c7adf254656d639632c4d14e34aa4fdff6
- ff051dde71487ea459899920ef7014dad8eee4df308eb360555f3e22232c9367
