Специалисты по информационной безопасности выявили сложную многоэтапную кампанию, нацеленную на пользователей криптовалютных кошельков в экосистеме Antelope/EOS. Угроза использовала высококачественный фишинговый сайт, клонирующий официальный ресурс разработчика Greymass, для распространения вредоносного установщика, который, в свою очередь, загружал на системы жертв легитимный инструмент удалённого администрирования. Что делает эту атаку примечательной, так это комплексный подход к социальной инженерии, включающий обход механизмов безопасности Windows с помощью действительного расширенного (EV) сертификата кодовой подписи и тщательно проработанную цепочку внедрения для обеспечения скрытности и устойчивости.
Описание
Кампания начиналась с домена anchorwallet[.]org, который представлял собой статичный HTML-клон легального сайта Anchor Wallet от известного в блокчейн-сообществе разработчика Greymass. Поддельный ресурс, размещённый на инфраструктуре хостинг-провайдера HIVELOCITY, был оснащён действительным сертификатом Let's Encrypt, что не вызывало подозрений у обычных пользователей. Сайт включал JavaScript для определения операционной системы посетителя, активно предлагая кнопку загрузки версии для Windows. Для имитации процедур проверки безопасности злоумышленники разместили на странице сфальсифицированные SHA-256 контрольные суммы и отпечаток PGP, в то время как настоящий проект использует SHA-512 хеши, распространяемые через YAML-файлы на GitHub.
Особое внимание аналитиков привлекло избирательное распространение вредоносного кода. В то время как файлы для macOS и Linux, доступные для загрузки с поддельного сайта, оказались побайтово идентичными официальным релизам с GitHub, версия для Windows весила в 4.2 раза больше (656 МБ против 156 МБ). Это несоответствие стало ключом к обнаружению трояна. Внутри 656-мегабайтного исполняемого файла, подписанного EV-сертификатом на имя индийской компании PIXEL PLAY PRIVATE LIMITED, полезная нагрузка занимала лишь около 2.3 МБ. Остальной объём, как выяснили исследователи, был заполнен нулевыми байтами. Подобная техника padding (дополнения) преследует две цели: она делает файл слишком большим для автоматического анализа большинством песочниц (sandbox), чьи лимиты часто не превышают 650 МБ, и значительно усложняет ручной разбор.
Конфигурация установщика, извлечённая из файла, указывала на сервер управления по адресу zorvexion24[.]com. На момент расследования большинство полезных нагрузок на этом сервере, зарегистрированном за два дня до создания трояна через гонконгского регистратора, уже было удалено. Однако оставался доступен файл s.msi, который представлял собой легальный установщик коммерческого инструмента Remote Utilities Host 7.1. Это классическая тактика злоумышленников: использование легального программного обеспечения для удалённого управления (RMM) позволяет смешаться с сетевым трафиком легитимного ИТ-администрирования и избежать детектирования сигнатурами, настроенными на кастомные RAT (Remote Access Trojan).
После установки инструмент Remote Utilities тщательно скрывался. Все его файлы и директории помечались системными атрибутами, что делало их невидимыми даже при включённой опции отображения скрытых файлов в проводнике Windows. Кроме того, через реестр отключалось отображение значков в системном трее, а запись об установке удалялась из списка "Программы и компоненты". Для обеспечения устойчивости атаки создавалась сложная система из пяти запланированных задач (scheduled tasks), работающих от имени SYSTEM. Эти задачи были связаны между собой таким образом, что удаление одной из них автоматически приводило к её восстановлению другими. Подобный механизм self-healing (самовосстановления) серьёзно затрудняет очистку системы.
Исследователи отмечают высокую степень проработки социальной инженерии в этой кампании. Поддельный сайт не только выглядел аутентично, но и использовал тонкий психологический приём: поскольку контрольные суммы для файлов macOS и Linux были настоящими и совпадали с официальными, у пользователя, проверяющего хеши, создавалось ложное ощущение надёжности, которое он автоматически переносил и на файл для Windows. Фальшивый отпечаток PGP служил дополнительным элементом декора, рассчитанным на пользователей, поверхностно знакомых с практиками верификации. При этом в политике конфиденциальности сайта утверждалось об отсутствии трекеров, в то время как страница загружала счётчик Yandex Metrika с функцией записи сессий (session replay).
Инцидент демонстрирует растущую изощрённость атак, нацеленных на сферу криптовалют. Злоумышленники комбинируют фишинг высокого качества, техники уклонения от анализа, легитимные инструменты для удалённого доступа и злоупотребление доверенными сертификатами для создания устойчивых и труднообнаруживаемых компрометаций. Для специалистов по безопасности этот случай служит напоминанием о необходимости комплексной проверки источников загрузки, даже если они выглядят безупречно, и важности мониторинга сетевой активности на предмет использования легальных RMM-инструментов в неожиданных контекстах.
Индикаторы компрометации
IPv4
- 216.126.236.42
- 23.227.196.101
Domains
- 42.236.126.216.static.cloudzy.com
- anchorwallet.org
- zorvexion24.com
URLs
- http://zorvexion24.com/file/install.msi
- http://zorvexion24.com/fk/ruliserv.exe
- http://zorvexion24.com/fk/rustclient.exe
- http://zorvexion24.com/s.msi
- https://anchorwallet.org/downloads/anchor-wallet-win-1.3.12.exe
Yandex Metrika counter
- 102003384
SHA256
- 043f92369bf5dbc41d48ce6439eb2138017bc7f21694c60e2eab9d321a819508
- 124934a7a07a78b619de32ad955dde59c3d3b1ef122b33b802629654801227d0
- 964f4fa8ef92aaecafeb599ffc2fa179d77e635cee72b3d0b68f431ece6b1271
- b5be0a680f2484786683bb835157571579299f89783443e8b88876d186ea0e72
