ChimeraWire: троян для незаметной накрутки поведенческих факторов обходит защиту с помощью браузера Chrome

Уникальность ChimeraWire заключается в его гибридной архитектуре, что и отражено в названии. Программа сочетает в себе несколько техник для обеспечения скрытности и живучести. В её основе лежат модифицированные проекты с открытым исходным кодом, предназначенные для автоматизации работы с веб-приложениями. После проникновения на компьютер троян скачивает портативную версию браузера Chrome, устанавливает в него расширения для обхода капчи (CAPTCHA) и запускает в невидимом режиме отладки. Все дальнейшие манипуляции происходят через протокол WebSocket, что позволяет злоумышленникам удалённо управлять трафиком.

Процесс заражения отличается сложностью и многоступенчатостью. Аналитики «Доктор Веб» отследили как минимум две независимые цепочки доставки финальной полезной нагрузки (payload). В обоих сценариях используются различные загрузчики, которые применяют техники повышения привилегий. В частности, злоумышленники активно эксплуатируют уязвимость класса DLL Search Order Hijacking. Этот метод позволяет загружать вредоносный код под видом легитимных системных библиотек, таких как ISCSIEXE.dll или компонентов OneDrive.

Первая цепочка начинается с трояна-загрузчика, который проверяет окружение на наличие признаков анализа. Если проверка проходит, загружается архив с Python-скриптом. Этот скрипт, в свою очередь, пытается получить права администратора, используя уязвимость в системном процессе iscsicpl.exe. После эскалации привилегий он загружает следующий этап - вредоносную библиотеку, маскирующуюся под компонент OneDrive. Именно эта библиотека в конечном итоге скачивает и запускает основной модуль ChimeraWire.

Вторая цепочка заражения демонстрирует ещё более изощрённый подход. Здесь начальный загрузчик патчит системную библиотеку ATL.dll, чтобы обеспечить своё повторное исполнение с повышенными правами через оснастку управления WMI. Интересно, что в этом сценарии злоумышленники дублируют этапы загрузки. Они параллельно используют тот же метод с OneDrivePatcher.exe и отдельно запускают Python-скрипт, аналогичный использованному в первой цепочке. По мнению экспертов, такое дублирование повышает вероятность успешного внедрения трояна в систему, даже если один из векторов будет заблокирован.

После запуска ChimeraWire получает от управляющего сервера (C2-сервера) зашифрованную конфигурацию. В ней содержатся конкретные задания: целевые поисковые системы, ключевые слова для поиска, домены, а также параметры для максимально правдоподобной имитации человека. Например, троян использует случайные паузы между действиями и взвешенные вероятностные модели для определения количества кликов на странице. Это позволяет обходить простые системы обнаружения ботов, которые ищут шаблонное поведение.

Алгоритм работы трояна детально проработан. Сначала он выполняет поиск по заданным ключевым словам в Google или Bing. Затем открывает найденные сайты, анализирует страницу на наличие ссылок и перемешивает их массив. Это делается для нарушения естественного порядка следования элементов на странице. Далее программа проверяет ссылки на соответствие шаблонам из конфигурации. В зависимости от количества найденных совпадений, ChimeraWire либо кликает по наиболее релевантным ссылкам, либо использует случайный выбор по вероятностной модели, что выглядит более естественно.

В настоящее время основная функция ChimeraWire - это накрутка поведенческих факторов, таких как переходы по ссылкам и время, проведённое на сайте. Однако потенциал лежащих в его основе инструментов гораздо шире. Эксперты отмечают, что в будущем злоумышленники могут адаптировать этот троян для автоматического заполнения веб-форм, сбора конфиденциальных данных с веб-страниц или даже для создания скриншотов. Таким образом, ChimeraWire представляет собой гибкую платформу для автоматизации вредоносных действий в браузере под видом легитимной активности пользователя.

Обнаружение этой угрозы подчёркивает растущую изощрённость атак, нацеленных на манипуляцию цифровым маркетингом и SEO. Злоумышленники постоянно ищут новые способы обхода защитных механизмов, используя легитимное программное обеспечение и сложные цепочки заражения. Специалисты «Доктор Веб» продолжают мониторинг активности ChimeraWire и рекомендуют пользователям обеспечивать своевременное обновление операционной системы и антивирусных баз.

IPv4

• 79.110.49.212
• 91.200.14.14

Domains

• 30.openthecahe.com
• down.temp-xy.com
• git.temp-xy.com
• logs.temp-xy.com
• openthecahe.com
• qu.ax
• temp-xy.com
• test.temp-xy.com
• time.temp-xy.com
• www.openthecahe.com

URLs

• https://down.temp-xy.com/code/k.txt
• https://down.temp-xy.com/code/s.txt
• https://down.temp-xy.com/update/onedrive.zip
• https://down.temp-xy.com/update/onedrivetwo.zip
• https://down.temp-xy.com/update/python3.zip
• https://down.temp-xy.com/zip/one.zip
• https://down.temp-xy.com/zip/two.zip
• https://pastebin.com/raw/9tDWNnF6
• https://pastebin.com/raw/r1V9at1z
• https://qu.ax/cLxFW.txt
• https://qu.ax/dcvwP.zip
• https://qu.ax/ZzSWR.txt

SHA1

• 054b9e9a9b76eccbce00e8f4d249a8e93f178f3c
• 0d9224ec897d4d20700a9de5443b31811c99b973
• 1e010f4637284da7c2c6ac9a8fb2b1bdec8f2abf
• 231ebce457fb9c1ea23678e25b3b62b942febb7d
• 2728a59e8ededa1d9d2d24ea37e3d87e1be9dd85
• 370e410383244c9f1ff75acb4d0dfbef29b483f6
• 477902f5b2934086def7319fc40662d3e603616b
• 5011e937851f3c4ecbd540d89a5dffd52922dfff
• 684fa80fc7173bb7704d861cd410e4a851305f0d
• 71f9af933330a08e05fa99e21f1d3684299f159f
• 7332fdb6e9b34e1d3dfb94a53272d1b3b6415333
• 752cbf3b0a18831b1ee02c8850517c695ddda98e
• 85d5f01e68924e49459b6cc1ccceb74daa03bfbd
• 8badce03b976fa1a4a3ab1b73ce6e158daf35b2a
• 9468b3c9b59cb485df6f363b8077abf7a6bbae2a
• 993fc928f3f3a4bd6f356d2c567548dcedeef89b
• a5207352be07557960240014ebbc6401c31110c1
• b49423f5eebfa3c969992c1e5181e40f14255283
• ce591bd31bee720dd0ee631f7be63904255a664b
• d56f4ee28e2545b087972b86507843c6a7836b6d
• e70a41a6ac176e0173f3769de127c704fb0d3239
• eb76a4c01f744cd357f6456526d379dc4653a20a
• f4ec358ae772d954b661dc9c7f5e4940a2c733e2
• fb889b6fb1a05854ddab3dc056a4be6a6129c8b0