Эксперты LevelBlue раскрыли цепочку заражения Vidar с использованием легитимных инструментов Windows

В основе атаки лежит использование AutoIt - легитимного скриптового языка для автоматизации задач в Windows. Данный инструмент часто применяется системными администраторами, но киберпреступники умело адаптируют его для своих целей. В данном случае скомпилированный скрипт AutoIt под именем Replies.scr выступил в роли загрузчика, который доставил и активировал похититель Vidar. Специалисты в документе подчёркивают, что из-за своей внешней безобидности AutoIt-исполняемые файлы редко вызывают подозрение у систем безопасности.

Первым звеном атаки стало выполнение файла MicrosoftToolkit.exe. Данная программа изначально создавалась для активации нелицензионных копий операционной системы и офисных пакетов. Пользователи часто запускают её добровольно, что делает этот вектор особенно коварным - не требуется классических фишинговых писем или эксплойтов уязвимостей. После запуска MicrosoftToolkit.exe породила командную строку, которая переименовала файл Swingers.dot в Swingers.dot.bat и выполнила его. Такая смена расширения - типичный приём маскировки, позволяющий обойти базовые фильтры по типу файла.

Далее запущенный скрипт приступил к активной разведке. С помощью команд tasklist и findstr злоумышленники попытались обнаружить и завершить процессы, связанные со средствами защиты информации. Это позволило снизить шансы обнаружения на этапе внедрения основной нагрузки. После очистки "поля боя" утилита extract32.exe извлекла из контейнера .dot дополнительные компоненты, которые затем были записаны в файл Replies.scr.

Именно этот файл и стал ключевым элементом цепочки. Выполненный с внешним параметром D, он выступил в роли загрузчика, который прочитал зашифрованную полезную нагрузку, расшифровал её в памяти и запустил Vidar. Аналитики обратили внимание, что в процессе атаки использовалась команда waitfor.exe для синхронизации и задержки выполнения - это ещё один способ усложнить ретроспективный анализ.

Сам Vidar, впервые появившийся ещё в 2018 году, относится к классу программ, похищающих конфиденциальную информацию. Он способен извлекать учётные данные браузеров, сессионные cookie-файлы, данные криптовалютных кошельков и системную информацию. Связь с управляющей инфраструктурой была зафиксирована через запросы к легитимным сервисам - telegram.me и steamcommunity.com, где злоумышленники разместили управляющие ресурсы. Кроме того, наблюдалось разрешение DNS-имени gz.technicalprorj[.]xyz через публичный сервер 8.8.8.8, что указывает на динамическое использование инфраструктуры.

Примечательно, что после завершения сбора данных вредоносная программа выполнила тщательную очистку следов. MicrosoftToolkit.exe удалил все ранее созданные файлы, освободил память и завершил собственный процесс через системный вызов RtlExitUserProcess. Такое поведение сильно осложняет работу специалистов по реагированию на инциденты, поскольку на диске практически не остаётся артефактов для анализа.

Хотя каждая из использованных техник по отдельности не является новой, их комбинация свидетельствует о высокой степени подготовки атакующих. Использование легитимных инструментов, маскировка файлов, разведка защитного периметра, динамическая сборка полезной нагрузки и самоочистка - такой набор методов всё чаще наблюдается в атаках на организации среднего и крупного бизнеса.

Как отмечают эксперты, ключевой уязвимостью в данной цепочке стало доверие пользователя к исполняемому файлу MicrosoftToolkit.exe. Организациям стоит обратить внимание на политики запуска неподписанного или непроверенного ПО на рабочих станциях. Дополнительно рекомендуется усилить мониторинг DNS-трафика и исходящих соединений - обращение к нехарактерным для сотрудника ресурсам может стать ранним маркером активности похитителей. Behavioural detection и активный поиск угроз остаются наиболее эффективными инструментами против такого рода многоэтапных атак.

IPv4

• 149.154.167.99

Domains

• gz.technicalprorj.xyz

SHA256

• 881619a47b62b52305d92640cc4d4845a279c23a5a749413785fc8fcb0fdf7fb
• 968ecf51c442ec0ff91f91689ac524e7e8e9eab0c1a2a65cf13e54cf95194efe
• 978ad86c90d85b74947bb627ec24f8bcd26812b500e82f5af202160506ac29c6
• d4fe9f48178cdf375a3be30d17f1dc016b5861dff8683f0bb35a0ba8d44f892f
• fc27479ff929d846e7c5c5d147479c81e483a2ec911bd1501a53aa646a29620d