Поиск технической информации о принципах работы браузерных захватчиков часто приводит лишь к общим инструкциям по удалению. Это создает пробел в понимании реальных механизмов угроз. В ходе анализа множества образцов, связанных в том числе с кампаниями TamperedChef/BaoLoader, были выявлены три принципиально разных подхода к перехвату контроля над веб-браузерами. Знание этих методов полезно как аналитикам, так и специалистам по созданию систем обнаружения угроз.
Описание
Случай 1: Когда у вредоноса другие предпочтения
Наиболее прямой способ заключается в прямом изменении файлов настроек браузеров. В Firefox это, например, файл "prefs.js" в папке профиля. В Chrome это два JSON-файла: "Preferences" и "Secure Preferences". Последний предназначен для защиты от подобных манипуляций с помощью HMAC (Hash-based Message Authentication Code) на основе алгоритма SHA-256.
Проще говоря, корректный HMAC-хэш можно вычислить только с использованием секретного ключа, что обеспечивает аутентификацию настроек. Файл "Secure Preferences" хранит такие хэши для каждой настройки в поле "protection.macs". Любое изменение без валидного хэша делает запись недействительной, и при перезапуске браузера она будет восстановлена из резервной копии.
Однако ключ HMAC в Chrome не является секретным. Браузер формирует его на основе системной информации, включая идентификатор безопасности (SID) машины и серийный номер системного диска. Точная процедура описана в исходном коде Chromium. Следовательно, вредоносное ПО, такое как AppSuite, может использовать собственную библиотеку для получения этих значений. Для аналитиков наличие таких DLL и вызовов соответствующих Windows API может служить индикатором активности браузерного захватчика.
Случай 2: Призрак в машине - это BRAT
Второй подход оказался неожиданным. Анализ вредоносного PDF-редактора выявил код, имитирующий нажатия клавиш и операции с буфером обмена. Функции, такие как "tstSrcBef()", выполняют последовательности, похожие на использование горячих клавиш в браузере.
Например, одна из функций эмулирует нажатие Escape, фокусировку на адресной строке (Ctrl+L), копирование её содержимого, замену на другую строку и последующую вставку. Это позволяет захватчику подменять поисковые системы. Другие функции управляют вкладками, контекстными меню и ссылками.
Динамическое тестирование показало тот же эффект, что и при «обычном» захвате: открываются нежелательные сайты, а поисковые запросы перенаправляются. Однако этот метод также позволяет автоматически кликать по рекламе, загружать дополнительное вредоносное ПО и даже манипулировать данными в буфере обмена во время онлайн-платежей.
Действия такого захватчика зависят от команд с сервера. В отличие от классического RAT (Remote Access Tool), контролирующего всю систему, эта угроза действует только в контексте браузера. Поэтому для неё уместно предложить новый термин - BRAT (Browser Remote Access Tool, инструмент удаленного доступа к браузеру).
Случай 3: «Нет» означает «Возможно» с правильными аргументами
Третий случай был обнаружен при анализе системы, зараженной через взломанные игры. Захватчик использует сценарии VBS и PowerShell, запускаемые по расписанию. Один из файлов, маскирующийся под иконку, на самом деле является REG-файлом для манипуляции реестром. После множества пустых строк следуют ключевые записи.
Эти записи отключают автоматические обновления Google Chrome через политики и добавляют определенный идентификатор расширения в белый список для установки. Сценарий PowerShell отслеживает через WMI запуск процессов "chrome.exe" и "edge.exe". При обнаружении браузер принудительно завершается и перезапускается с аргументом командной строки "--load-extension", который загружает вредоносное расширение.
Здесь используется важная деталь. Переключатель "--load-extension" был удален из Chrome в апреле 2025 года по соображениям безопасности, но не полностью. Он остался в коде, будучи деактивированным по умолчанию. Чтобы его снова активировать, необходимо отключить функцию безопасности "DisableLoadExtensionCommandLineSwitch". Именно это и делает вредоносное ПО.
Разработчики Chromium отмечают, что этот обходной путь является временным. Поэтому злоумышленники отключают обновления браузера, чтобы их метод продолжал работать на зараженных системах как можно дольше, продлевая жизнь браузерному захватчику.
Изучение этих трех техник - прямого редактирования настроек, эмуляции управления и злоупотребления аргументами командной строки - демонстрирует эволюцию и изощренность угроз, нацеленных на браузеры. Понимание подобных механизмов является критически важным для эффективного противодействия.
Индикаторы компрометации
SHA256
- 1d9bebfec33fa5a5381f0d1fcc3a57e83a2f693a2e0d688cdb86abfa7484a28d
- 6022fd372dca7d6d366d9df894e8313b7f0bd821035dd9fa7c860b14e8c414f2
- 6ae8c50e3b800a6a0bff787e1e24dbc84fb8f5138e5516ebbdc17f980b471512
- 847a629e3f3c4068c26201ed5e727cda98b3ac3d832061feae0708ff8007d4fb
- a1c49a02d19bb93e45a0ec6c331bba7e615c6f05ae43d0dfd36cf4d8e2534c6a
