Эксперты по кибербезопасности опубликовали результаты анализа нового образца вредоносного ПО, известного как SilverFox (Серебряная лиса). Исследование выявило сложный многоэтапный процесс заражения, нацеленный на корпоративных пользователей через фишинговые атаки.
Описание
Инцидент был обнаружен в середине 2025 года во время реагирования на инцидент безопасности на компьютере сотрудника крупной организации. При первоначальной загрузке в песочницу Weibu (Мибу) образец был идентифицирован как ранее неизвестная угроза, что подчеркивает его новизну на момент обнаружения.
Механизм атаки начинается с целевых фишинговых писем, отправляемых сотрудникам компаний. Злоумышленники используют социальную инженерию, чтобы убедить жертв загрузить и запустить вредоносную программу. После выполнения программа манипулирует корпоративными мессенджерами, такими как WeChat Work и DingTalk, создавая групповые чаты и приглашая в них других сотрудников для распространения дополнительного фишингового контента с целью мошенничества.
Технический анализ показал, что программа разработана на языке C и при запуске запрашивает права администратора. При обратном инжиниринге в IDA было обнаружено, что точка входа сначала получает дескриптор целевого окна, затем скрывает окно и выполняет бессмысленные циклы для затруднения анализа.
Одной из ключевых особенностей является динамическая загрузка DLL и вызов функций для сокрытия истинных намерений. Программа использует цикличное шифрование и выполнение содержимого в памяти, что значительно усложняет обнаружение. Ключ дешифрования был идентифицирован как DdNPciz9qk8R3qdvJFbee0X2WnM5IOwQnrkf308rCjPQbqIhSLHsksqMGV2zV40cysnL, а размер расшифрованного бинарного файла составляет 6 МБ.
После дешифрования программа создает временные файлы, каталоги со случайными именами в C:ProgramData и устанавливает механизмы персистентности через автозагрузку реестра и создание запланированных задач. Имя задачи следует шаблону MySystemBootTask_ со случайными символами, а команда выполнения использует системную утилиту schtasks.exe с высшими привилегиями.
Вредоносное ПО создает три файла: исполняемый файл со случайным именем, libpython2.7.dll и longlq.cl. Анализ показал, что основной модуль разработан на Python 2.7 и использует продвинутые техники для скрытного получения API-функций через хеширование имен вместо прямых строковых сравнений.
Было идентифицировано внешнее подключение к C2-серверу по адресу 23.226.57.5. Программа загружает дополнительные модули, которые выполняются в памяти и затем удаляются, что демонстрирует высокий уровень стелс-возможностей.
Финальный этап включает загрузку, дешифрование и выполнение файлов с указанных URL-адресов с последующей самоочисткой. Хотя на момент анализа загрузочные адреса уже были недоступны, поведенческий анализ в песочнице позволил восстановить полную цепочку выполнения.
В настоящее время основные антивирусные решения уже добавили сигнатуры для детектирования этой угрозы. Эксперты подчеркивают важность повышения осведомленности пользователей о фишинговых атаках и необходимость регулярного обновления систем безопасности для защиты от подобных сложных угроз.
Кампания SilverFox демонстрирует растущую изощренность киберпреступников, использующих многоступенчатые атаки с элементами социальной инженерии и продвинутыми техниками уклонения от обнаружения. Организациям рекомендуется реализовать многоуровневую защиту и проводить регулярное обучение сотрудников по вопросам кибербезопасности.
Индикаторы компрометации
IPv4
- 23.226.57.5
Domains
- ddos.dnsnb8.net
SHA256
- fba103b9e8a78715e91680249b39813db9cba941bb7213dbf0af932d52036089
