Анализ угроз 2025: Троян Silver Fox наращивает техническую сложность атак через поддельные приложения

Основным каналом распространения FakeApp остаются фишинговые сайты, продвигаемые в поисковых системах с помощью SEO-спама и платной рекламы. Исследование, охватившее 839 образцов за период с 2025 по начало 2026 года, показывает чёткие предпочтения атакующих. Наиболее часто подделываемым приложением стал браузер Chrome (19.55% образцов), за которым следуют офисный пакет WPS (14.18%) и инструменты для удалённого доступа. С точки зрения категорий ПО, основными целями являются браузеры (22.53%), офисные и коммуникационные программы.

Для сборки вредоносных установщиков злоумышленники преимущественно используют бесплатные и гибкие инструменты, такие как Inno Setup (43.03% случаев). Это позволяет им легко внедрять собственные скрипты и модифицировать структуру пакетов. Аналитики отмечают тревожную тенденцию: в 117 образцах структура инсталлятора была намеренно искажена для блокировки работы стандартных средств распаковки и затруднения статического анализа. Финальные вредоносные модули (полезная нагрузка) почти всегда защищены коммерческими протекторами вроде VMProtect, что серьёзно усложняет динамический анализ и исследование.

Технические инновации в методах сокрытия

Первый кейс связан с использованием установщика Advanced Installer. Вредоносный код был скрыт внутри многослойной структуры: внешний EXE-файл распаковывал MSI-пакет, который, в свою очередь, содержал запароленный ZIP-архив. В этом архиве находилась вредоносная DLL-библиотека, защищённая протектором. Для её выполнения использовался легитимный файл с валидной цифровой подписью, что повышало доверие к процессу со стороны систем безопасности.

Второй случай демонстрирует использование экосистемы Python для маскировки. Злоумышленники упаковали предварительно скомпилированные Python-файлы (.pyc) в архив, на который ссылается конфигурационный файл "._pth". При запуске легитимного Python-приложения этот механизм автоматически загружал вредоносный байт-код из архива. Далее скрипт расшифровывал и исполнял шелл-код в памяти, полностью избегая записи подозрительных файлов на диск. Последующие действия были направлены на агрессивное противодействие защитному ПО, включая использование уязвимых драйверов (BYOVD) для завершения процессов антивирусов.

Третий пример показывает, как логика атаки может быть полностью встроена в скрипты установки. Вредоносный инсталлятор, созданный в Inno Setup, в процессе установки склеивал несколько частей файлов, чтобы собрать архиватор 7z и запароленный архив с основной полезной нагрузкой. После распаковки и выполнения зловреда, основной установщик запускал легитимный процесс для отвода глаз, а затем самоуничтожался через создание временного BAT-файла. Этот подход затруднял обнаружение, так как классические средства проверки установщиков не всегда анализируют исполняемые скрипты.

Выводы и рекомендации

Эволюция Silver Fox в 2025 году наглядно показывает смещение акцента с социального инжиниринга на технически изощрённые методы сокрытия и персистентности (устойчивости). Атакующие активно изучают особенности легитимных сред исполнения, таких как Python, и механизмы работы популярных установщиков, чтобы внедрять в них свою логику.

Эксперты рекомендуют пользователям и компаниям проявлять повышенную бдительность. Ключевые меры защиты включают загрузку программного обеспечения исключительно с официальных сайтов разработчиков, использование комплексных решений безопасности с функциями EDR (обнаружения и реагирования на конечных точках) для выявления подозрительного поведения, а также регулярное обучение сотрудников киберграмотности. Поскольку атаки становятся всё более целенаправленными и скрытными, только многоуровневая защита может эффективно противостоять таким угрозам.

MD5

• 1909e031316287156c2dac3018ba337b
• 1cd2537120dcbd29e38d49ce002c6071
• 1e8958c95d30456b12539ba4ae90f3a2
• 49ea0b4dbd1a6d438ea01d19631ecd88
• 4b42d170eddff6e119da7f19e7a87779
• 5b3bea02989eaa3c91cc0529b28c0fdb
• 6105c557f4d4686763b9320a0a7c4034
• 66b3c16d08b708db30a07ad4378f096b
• 66d4ae51b668694b2ea160dd5a891457
• 683736026f84efc7b721d119bd9c66f4
• 6b13f28629edfd10398542355d4b1344
• 8e467c4b44383ec8c350f12c1f747f8a
• 91f27b95440f9b9808672d2428890155
• 9207367bc1a2e10fad8edad0ffadc6e7
• a76f2bfaa461e0d6bc97d5ef4645a25b
• c5cd21e97b092217fbdccea5cbe89931
• d0520569180accd7e17ed9697711d6ec
• d920c1a909744e206405ec13539ee01c
• e441c330775185ffc18fd6f747e7b543
• eaabce81a72298761ae4f01ac4652085
• edad037c7896f30d1696a4368a306504
• efa83a571ff02b8f583c569e6ef37c8d
• f55be71110dab82e5285d8d84dd24d51
• f8c3fc89d7a33c90110e401acc799d05
• fe61066ebabefee158b7e09f84535ada