Эксперты из исследовательского центра CERT компании "Antian" раскрыли новую кампанию киберпреступной группировки, известной под именами "SwimSnake" (Плавающая змея) или "Silver Fox". Атака, зафиксированная в декабре 2025 года, отличается целенаправленным механизмом распространения и использованием сложных методов уклонения от обнаружения. Злоумышленники маскируют вредоносное ПО под официальный установочный файл "Baidu Netdisk", что позволяет обмануть многих пользователей.
Описание
Условие для атаки: наличие мессенджера
Ключевой особенностью новой схемы является условный запуск наиболее опасного компонента. Основная вредоносная нагрузка (payload), так называемый троянец Winos, активируется только при обнаружении на зараженном компьютере запущенных процессов популярных мессенджеров. Специальный модуль сканирует систему на наличие WeChat (Weixin), DingTalk, Telegram или WhatsApp. Если хотя бы одно из этих приложений работает, в системе создается специальный файл-маркер. Его наличие служит триггером для развертывания полноценного удаленного административного инструмента (RAT, Remote Access Trojan) Winos. Этот подход позволяет злоумышленникам повысить эффективность атак, сосредоточившись на устройствах с высокой социальной активностью. Кроме того, условный запуск снижает вероятность срабатывания систем безопасности.
Если целевые мессенджеры не обнаружены, атака не прекращается. В этом случае на компьютер попадает другая, менее функциональная, но все равно опасная вредоносная программа. Ее задачи включают поддержание связи с командным сервером (C2, Command and Control), загрузку дополнительных модулей и сбор информации о системе. Таким образом, практически каждый зараженный компьютер становится частью ботнета или платформы для последующих атак.
Эволюция методов и сложная цепочка атаки
Группировка "Плавающая змея" известна с 2022 года. Ранее она использовала фишинговые сайты, поисковый спам (SEO poisoning) и рассылку писем для распространения вредоносного ПО. В качестве техники выполнения кода часто применялся метод "белое на черном" (living off the land), при котором легитимные системные процессы загружают вредоносные библиотеки. В новой кампании злоумышленники усложнили свою тактику. Они отказались от размещения вредоносных DLL (Dynamic Link Library) в одной директории с легитимными программами. Вместо этого они стали использовать стандартные системные утилиты, такие как rundll32.exe и regsvr32.exe, для загрузки и выполнения вредоносных модулей прямо из памяти. Этот прием значительно затрудняет обнаружение файлов на диске традиционными антивирусными средствами.
Атака начинается с того, что пользователь загружает поддельный установщик "Baidu Netdisk" с фальшивого сайта, который может занимать высокие позиции в результатах поиска Google благодаря черным методам SEO. При запуске этот файл, упакованный с помощью InstallBuilder, выполняет два действия. Во-первых, он устанавливает настоящий клиент "Baidu Netdisk", чтобы не вызывать подозрений у жертвы. Во-вторых, он тайно распаковывает и запускает целый каскад вредоносных компонентов.
Многоступенчатое внедрение и противодействие защите
Первичный загрузчик (xmplay.exe) использует PowerShell для добавления текущего диска в список исключений Защитника Windows (Windows Defender), ослабляя встроенную защиту системы. Затем он распаковывает несколько зашифрованных файлов в системные каталоги. Последующие этапы включают сложные процедуры расшифровки в памяти, что позволяет избежать создания подозрительных файлов. Один из компонентов (Single.dll) специально предназначен для обхода средств безопасности. Он ищет в системе процессы известных антивирусов и других средств защиты, после чего модифицирует таблицы сетевых соединений, чтобы заблокировать их связь с серверами обновлений. Это лишает защитное ПО возможности получать актуальные сигнатуры и отчеты об угрозах.
Далее, первый этап вредоносной программы соединяется с командным сервером по адресу 202.95.16.100 и загружает модуль для сбора информации (UserInfoPlugin.dll). Именно этот модуль и проводит проверку на наличие мессенджеров. Если условие выполняется, запускается следующий этап, который загружает троянец Winos с другого сервера (27.124.45.66). Этот троянец обладает широким набором функций для удаленного управления, включая запись нажатий клавиш, мониторинг буфера обмена, захват скриншотов и выполнение произвольных команд. Он также пытается обнаружить и завершить процессы, связанные с инструментами анализа безопасности.
Цели и бизнес-модель угрозы
Основная цель группировки "Плавающая змея" - финансовое мошенничество. Получив контроль над устройством, операторы вручную исследуют его. Используя доступ к аккаунтам в мессенджерах, они вступают в доверительные переписки, вступают в группы или рассылают сообщения от имени жертвы для дальнейшего распространения вредоносного ПО или прямого выманивания денег. Эксперты "Антянь" предполагают, что группировка может работать по модели "Мошенничество как услуга" (FaaS, Fraud as a Service). В этом случае они предоставляют инструменты и инфраструктуру другим преступникам, что значительно снижает порог входа в киберпреступную деятельность.
Рекомендации по защите
Для противодействия подобным угрозам необходимо соблюдать базовые правила кибергигиены. Следует загружать программное обеспечение только с официальных сайтов разработчиков, внимательно проверяя адреса. Крайне важно использовать комплексные решения для защиты конечных точек (Endpoint Protection), которые сочетают сигнатурный анализ, эвристические методы и поведенческие модели.
Индикаторы компрометации
IPv4
- 202.95.16.100
- 27.124.45.66
Domains
- baiduwangpan.cc
URLs
- https://sen.s-ed1.cloud.gcore.lu/Baidu-2025102902.zip
MD5
- 15e01f2c420720f1534c1168e01f2541
- 1854962ad353f485e314f60881b7f9cb
- 4a955bf9245ffecc34a1d3698438bf15
- 67e41cb7c6d1a5c891a4cf0ba974929c
- 7ce0eae4db7930357dbdf9a34febfef4
- 821e5293b5815f35e9ba9a9e4b93f858
- 9147c33f1f46151389eedb5f29ca800a
- 9b2919c90eccdb4b9d1a0b5d4fce790d
- a49a6f85f7e638a2bd1580c78203b49a
- d56fdf251110fbad9064da33cdd51e54
- d7e3fc5162e22dfd62670a845426298e
- d9feecfdb4b4f5663bdbc8ea395a9e81
