Hаскрыта связь между вредоносными программами AppSuite, OneStart и ManualFinder

Изначально AppSuite был идентифицирован как потенциально нежелательная программа, написанная на Electron. При более глубоком анализе обнаружилась его возможная связь с браузером OneStart, который также фигурировал в случае заражения ManualFinder, документированном экспертами Expel. Это побудило исследователей к более тщательному расследованию.

При изучении последней версии OneStart установлено, что браузер основан на Chromium и не использует Electron или NodeJS, что изначально усложняло поиск прямой связи. Ключевой находкой стал файл onestart.dll, который содержит механизмы проверки обновлений через домен onestartapi[.]com. Этот домен предоставляет конфигурационные файлы для системы установки Advanced Installer.

Особый интерес представляет расширение с идентификатором ‘memhbiihnoblfombkckdfmemihcnlihc’, которое отслеживает посещения booking.com и ранее устанавливало дополнительное расширение "Capital one shopping" без ведома пользователя. Это демонстрирует агрессивную тактику сбора данных.

Прорыв в расследовании произошел при анализе старой версии установщика OneStart (v4.5.224.8), где был обнаружен PowerShell-скрипт со случайным доменным именем 7df4va[.]com. Этот домен оказался одинаковой длины с доменом mka3e8[.]com, используемым в кампании ManualFinder. Замена домена в вредоносном JavaScript из случая ManualFinder на домен из OneStart привела к успешному ответу сервера, доказывая общую инфраструктуру.

Для установления связи с AppSuite исследователи заменили домен в URL, используемых AppSuite, на домен из OneStart. Сервер корректно ответил на запросы, подтвердив, что все три программы используют общие серверные ресурсы. Домены представляют собой псевдонимы для ресурсов, размещенных на CloudFront.

Дальнейшее расследование выявило, что злоумышленники использовали node.exe для выполнения JavaScript в более старых кампаниях. Обнаружены установщики с названиями вроде PrintRecipes, FreeManuals и LaunchBrowser, которые связаны с компанией "Blaze Media" и ее продуктом SecureBrowser, являющимся предыдущей версией OneStart под другим брендом.

История деятельности этой группы уходит корнями как минимум в 2018 год, когда они распространяли вредоносное ПО под видом игровых установщиков через компанию "Realistic Media Inc.". С течением времени тактика эволюционировала от использования node.js и WebView к полноценным браузерам на Chromium.

Злоумышленники постоянно меняют названия и облик своего ПО, используя популярные темы для привлечения жертв: игры, рецепты, руководства пользователя, а в последнее время - искусственный интеллект. Это демонстрирует их адаптивность и долгосрочную операционную деятельность.

Данный случай подчеркивает сложность борьбы с устойчивыми угрозами, где злоумышленники маскируют вредоносную активность под легитимное программное обеспечение и постоянно обновляют свои методы. Обнаружение общей инфраструктуры стало ключом к раскрытию масштабов этой многолетней кампании. Специалисты по безопасности продолжают мониторинг данной группы для выявления новых вариантов их вредоносного ПО.

Domains

• 7df4va.com
• mka3e8.com
• onestartapi.com

SHA256

• 1ff8268fa64c8f55eb750c4433c1e9e47dc7359b7fcc653215423ed3fe5d8b4d
• 44ad9111f14c83be400bba303df5dc54ab699bb4f6e8144d052ac19812cd4fac
• 6b6fc62a294d5ef1c619d623f1cf6d735d9f191df9ef5c745b0881b1e01b8565
• 77e4dab34cb6c2169c47463b4ed81efe61185446c304b392dd9b0cbe2b31c67c
• 7ad613dee75da11ef9b7a92823bda3e290491e245956f5a192a3207a5f11d9a0
• 90b2e64ce4c6b2a0048158755281466b60b83ac1a8b43bb28614ec67c9fe52eb
• a704398d2446d297938d773f22e3a703b8e8b9a411edcf0f821dff6e975f2724
• be50abcaa65744e1d62ed858911a8ed665a4743a1f1e6db515cbd661052bd3f9