В 2026 году на передний план среди угроз выходит троянец удаленного доступа (RAT) под названием DesckVB, демонстрирующий высокую активность. Его главная опасность для корпоративных сетей и обычных пользователей заключается в сложной многоэтапной схеме заражения, которая почти не оставляет следов на диске, что позволяет ему эффективно уклоняться от традиционных антивирусных решений, основанных на сигнатурах. Эта атака - наглядный пример современного тренда, когда злоумышленники комбинируют легитимные инструменты администратора, такие как PowerShell, с продвинутыми техниками выполнения кода непосредственно в оперативной памяти.
Описание
Инцидент начинается с того, что жертва получает или загружает вредоносный файл JavaScript. Этот файл тщательно обфусцирован, то есть его код намеренно запутан и усложнен для анализа. Его первая задача - создать и запустить скрипт на PowerShell. Важно отметить, что PowerShell является стандартным и мощным инструментом автоматизации в среде Windows, поэтому его активность часто воспринимается системами мониторинга как легитимная. Скрипт, в свою очередь, проверяет наличие интернет-соединения, обращаясь к сайту Google, а затем приступает к основной фазе.
На этом этапе происходит ключевой для обхода защиты маневр. Вместо того чтобы записывать исполняемый файл на жесткий диск, где его может обнаружить сканер, вредонос использует технику in-memory execution. Он загружает в память сборку .NET (DLL-библиотеку) с помощью механизма рефлексии .NET. Это позволяет коду выполняться исключительно в оперативной памяти, минуя файловую систему. Для запуска этого кода злоумышленники также злоупотребляют другой легальной утилитой - InstallUtil.exe, которая предназначена для установки серверных ресурсов. Такой метод, известный как Living-off-the-Land (LotL), серьезно осложняет детектирование.
Как отмечают исследователи, после успешного выполнения в памяти загрузчик устанавливает соединение с командным сервером (C2, Command-and-Control). В данном случае использовались домены "andrefelipedonascime1768785037020.1552093.meusitehostgator.com.br" и "pastee.dev". Для маскировки настоящих адресов в коде применялось кодирование Base64 и реверс строк. Например, строка "0/jWzXCALY/d/ved.eetsap//:sptth" после расшифровки и обратного переворачивания превращается в валидный URL. После установки C2-канала злоумышленники получают полный контроль над системой.
Финальный полезный модуль, известный как Microsoft.exe, демонстрирует широкий спектр шпионских возможностей. Анализ памяти во время выполнения показывает, что троянец загружает специализированные компоненты: модуль кейлоггера для перехвата нажатий клавиш, модуль DetectAV для выявления установленного антивирусного ПО, инструменты для доступа к веб-камере и сбора системной информации. Все эти данные эксфильтрируются по зашифрованному каналу. Сетевой анализ трафика подтверждает, что общение с C2-сервером (например, с доменом "manikandan83.mysynology.net" на порту 7535) происходит по стандартному HTTPS-порту 443, что позволяет вредоносной активности маскироваться под обычный веб-трафик.
Последствия успешного проникновения DesckVB RAT критичны. Злоумышленники могут длительное время оставаться незамеченными в корпоративной сети, собирая конфиденциальные данные: логины и пароли, переписку, финансовую отчетность, коммерческие тайны. Кроме того, троянец может служить плацдармом для горизонтального перемещения по сети и развертывания более разрушительных атак, например, программ-вымогателей. Низкий профиль детектирования делает его особенно опасным для организаций, чьи системы защиты сфокусированы на обнаружении файловых угроз.
Данный инцидент подчеркивает необходимость перехода от чисто сигнатурного анализа к более комплексным подходам в информационной безопасности. Эффективная защита должна включать мониторинг аномального поведения процессов, особенно активности PowerShell с нетипичными параметрами, анализ сетевого трафика на предмет соединений с подозрительными или новыми доменами, а также использование технологий обнаружения атак, которые могут выявлять техники выполнения кода в памяти и злоупотребления легитимными инструментами. Для обычных пользователей основная рекомендация остается неизменной - проявлять предельную осторожность при открытии вложений из непроверенных источников и поддерживать операционную систему и программное обеспечение в актуальном состоянии.
Индикаторы компрометации
IPv4
- 45.156.87.226
Domains
- andrefelipedonascime1768785037020.1552093.meusitehostgator.com.br
- manikandan83.mysynology.net
- pastee.dev
MD5
- 138f29a9190acad9c392cc6fe37104b8
- a624f6cb9ccd4106f91e58049163c757
- f040a81be4d3b3584b79036d77794c16
- f17ed8c5c54bae6c74d0d793d7c7a72a
- fd684ea48cb97714d4f8a0c741cf862b
SHA256
- 220e11c678bcba151545ce19398e08b8802103bfbbc11696f3301ea8fa38190c
