Пользователи, которые искали бесплатный инструмент для удаления фона с фотографий, рискуют столкнуться с многоступенчатой атакой. Злоумышленники создали сеть поддельных сайтов, внешне напоминающих обычные сервисы по обработке изображений: с загрузкой снимков, индикаторами прогресса и кнопками скачивания. Однако на самом деле все элементы интерфейса - фикция, а конечная цель - доставить на компьютер жертвы сразу два вредоносных инструмента: программу удалённого доступа NetSupport RAT (троян, дающий атакующему полный контроль над системой) и кастомный .NET-стилер, который ворует учётные данные браузеров, информацию из расширений криптокошельков и файлы сессий Telegram. Исследователи из компании Huntress обнаружили эту кампанию и дали ей название BackgroundFix.
Описание
Схема обмана известна как ClickFix. Жертва загружает свою фотографию, видит реалистичную анимацию обработки, а затем ей предлагается подтвердить, что она не робот. После нажатия на галочку страница тайно копирует в буфер обмена вредоносную команду и одновременно отправляет на сервер злоумышленника телеметрию о том, что посетитель выполнил этот шаг. Далее пользователю даётся инструкция нажать Win+R (открыть окно "Выполнить"), вставить команду и нажать Enter. Команда запускает встроенную утилиту finger.exe, которая обращается к управляемому атакующим finger-серверу на порту 79. В ответе сервера содержится скрытая команда - она выполняется в консоли и запускает следующий этап заражения. При этом окно командной строки не появляется, так как атака использует флаг минимизации.
Техническая цепочка довольно запутанная, но её суть такова. Из ответа finger-сервера извлекается PowerShell-скрипт, который с помощью утилиты curl загружает легитимный дистрибутив Python с официального сайта python.org. Загрузка получает расширение .pdf, чтобы не привлекать внимания. Затем встроенный tar распаковывает архив, и вместо python.exe запускается его копия с уникальным именем. Сама логика скрипта написана на Python: она скачивает ещё один скрипт с удалённого сервера, который после дополнительной расшифровки превращается в загрузчик шелл-кода. Для маскировки обфускатор заменяет латинские символы на похожие кириллические, которые потом заменяются обратно. В конечном счёте в память загружается первый шелл-код, использующий алгоритм RC4 для расшифровки второго, более крупного шелл-кода - рефлексивного загрузчика PE-файлов (программа, которая умеет запускать исполняемый модуль прямо из памяти, без сохранения на диск).
В этой кампании есть любопытная небрежность разработчика. Среди способов запуска нагрузки (launch_method) предусмотрен метод номер 4 - запуск через regsvr32.exe. Однако в бинарном файле строка для вызова этой утилиты оказалась написана с ошибкой: regsrv32.exe вместо regsvr32.exe (буквы "s" и "v" переставлены местами). Эта опечатка делает метод полностью неработоспособным независимо от обстоятельств. Похоже, программист, собиравший CastleLoader, не пользовался проверкой орфографии. Всего в рамках кампании найдено восемь доменов, использующих один и тот же шаблон поддельного фоторедактора, так что речь идёт о системной, а не разовой атаке.
После того как выполнение доходит до второго шелл-кода, он раскрывает и запускает основную нагрузку - CastleLoader. Эта программа выступает в роли оркестратора. Она связывается с командным сервером (C2 по адресу trindastal[.]com) через шифрованный канал (ChaCha20), передаёт информацию о системе, версии Windows и установленных антивирусах. В ответ сервер присылает список задач. В одном из образцов было две задачи: первая - скачать ZIP-архив с NetSupport RAT, расшифровать RC4-ключом, распаковать и зарегистрировать как запланированное задание для сохранения доступа после перезагрузки. Вторая задача - загрузить .NET-сборку net40.bin и внедрить её в процесс методом APC-инъекции (асинхронного вызова процедуры), не сохраняя на диск.
Эта .NET-сборка и есть кастомный стилер, который исследователи назвали CastleStealer. Перед тем как начать кражу, он проверяет язык системы: если среди установленных языков интерфейса есть русский ("ru-RU"), выполнение немедленно прекращается. После этой проверки стилер собирает через WMI характеристики компьютера: имя процессора, количество ядер, видеокарту, разрешение экрана и список пользователей. Затем он делает скриншот рабочего стола и отправляет всё это на собственный командный сервер (по TCP на 38.146.28[.]30:22989). После получения ответа стилер приступает к сбору файлов.
Он нацелен на браузеры на базе Chromium и Firefox: копирует файлы паролей (Login Data), cookie и ключи шифрования. Для доступа к данным криптокошелёк использует обход хранилищ IndexedDB расширений MetaMask, Phantom, Trust Wallet и Ronin. Сессии Telegram извлекаются путём копирования папки tdata, что позволяет перехватить доступ к аккаунту без ввода пароля. Чтобы обойти блокировку открытых файлов (например, когда браузер запущен), стилер использует API Restart Manager - это штатный механизм Windows, который аккуратно освобождает файлы, а не убивает процессы, что менее заметно для систем защиты. Вся связь с C2 стилера шифруется AES-256, а ключ сессии передаётся при первом рукопожатии, зашифрованный статическим AES-128 ключом.
Такая многоступенчатая атака опасна тем, что объединяет две разные возможности: удалённый доступ через NetSupport RAT (атакующий может буквально управлять мышью и клавиатурой) и автоматическое извлечение конфиденциальных данных. Однако некоторые элементы атаки можно заблокировать простыми настройками безопасности. ClickFix опирается на то, что жертва вручную открывает окно "Выполнить" (Win+R). Отключение этой функции через групповые политики (удаление пункта "Выполнить" из меню "Пуск") прерывает цепочку на самом первом шаге. finger.exe - редко используемая современными системами утилита; блокировка исходящего трафика на порт 79 на сетевом экране не даст ей соединиться с сервером злоумышленника. Наконец, CastleStealer не поддерживает защиту App-Bound Encryption (механизм шифрования паролей, введённый в Chrome версии 127). Обновление Chromium-браузеров до актуальной версии делает кражу сохранённых паролей невозможной для этого стилера. Комбинируя эти меры, организации и рядовые пользователи могут существенно снизить риск заражения.
Индикаторы компрометации
IPv4 Port Combinations
- 38.146.28.30:22989
Domains
- ai-scan.digital
- backgroundformat.online
- background-off.com
- background-ready.online
- bg-go.online
- bg-ready.online
- bg-removerok.online
- bg-transparency.online
- cheeshomireciple.com
Domain Port Combinations
- giovettiadv.com:688
- poronto.com:688
URLs
- https://brionter.com/4ba0af68-0037-5f6e-afd1-64f89fc0f554/net40.bin
- https://obelnamevalf.org/OaTS7yE9zd/default
- https://trindastal.com/4ba0af68-0037-5f6e-afd1-64f89fc0f554/loc8
- https://trindastal.com/4ba0af68-0037-5f6e-afd1-64f89fc0f554/v8
- https://trindastal.com/8250d149-9bf8-566d-9d7d-ea925eae0a4c/
SHA256
- bde21d8be65d31e1c380f2daae2f73c79f3e1f4bca70fb990db6fdf6c3768c92
- ed391a16389234f9ebb6727711baaf3e068d7f77c465708fa3e8b7d0565d7fb9