Специалисты по информационной безопасности компании Huorong обнаружили и проанализировали новую цепочку атак, в которой злоумышленники используют поддельный сайт популярного программного обеспечения для эмуляции геймпадов DS4Windows. В результате пользователи, скачавшие вредоносный инсталлятор, получали на свои компьютеры скрытно установленный инструмент удаленного доступа ScreenConnect, превращавший устройство в управляемую злоумышленником бот-ноду.
Описание
Инцидент начался с обращений пользователей о повторяющихся срабатываниях антивируса. После проведенного расследования инженеры Huorong установили, что источником проблемы являлся фишинговый сайт, выдававший себя за официальный ресурс проекта DS4Windows. Пользователи, загружавшие оттуда архив с программой, фактически получали троянский установщик.
Внутри архива, помимо легитимного файла DS4Windows.exe, находился вредоносный DLL-загрузчик с названием install.res.1033.dll. При запуске основного приложения происходила так называемая side-loading атака: безобидная программа загружала вредоносную DLL-библиотеку. Этот загрузчик, в свою очередь, искал в папке два файла: setup.cab (настоящий установщик DS4Windows) и vcredist_x64.dll. Последний файл, несмотря на расширение DLL, на самом деле являлся MSI-пакетом для установки коммерческого инструмента удаленного управления ScreenConnect.
Установка ScreenConnect происходила в тихом режиме с параметрами "/qn /norestart", что делало процесс невидимым для пользователя. Для обеспечения постоянства присутствия (persistence) создавалась служба с названием "Microsoft Update Service", которая автоматически запускалась при старте системы и подключалась к серверу злоумышленников. Критично, что конфигурационный файл инструмента был настроен на полное скрытие иконок в трее и любых уведомлений, что превращало легитимный инструмент администратора в совершенный шпионский модуль.
После установки бэкдора оператор начинал удаленно отправлять на зараженную машину команды через интерфейс ScreenConnect. Первым делом выполнялась PowerShell-команда, добавлявшая все локальные диски и ключевые системные процессы в исключения защитника Windows Defender, полностью отключая его. Далее следовала инструкция на загрузку и выполнение второго загрузчика (m.exe), который, в свою очередь, расшифровывал и запускал основной модуль бэкдора - библиотеку Jaqihe.dll.
Анализ этого бэкдора, написанного на C#, показал его модульную и скрытную архитектуру. Сам по себе Jaqihe.dll не содержал функций для кражи данных или шифрования файлов. Его задача заключалась в обеспечении скрытного и устойчивого канала связи для последующей доставки более опасных модулей.
Бэкдор начинал работу с создания уникального мьютекса на основе хеша системной информации (процессор, диски, имя пользователя), что предотвращало повторное заражение одной машины. Затем он проверял наличие в системе мощной видеокарты (с видеопамятью более 4 ГБ), что может указывать на целевой характер атаки на пользователей, потенциально интересных для майнинга или игровых аккаунтов. Для обеспечения persistence модуль создавал в планировщике заданий Windows две задачи. Первая, одноразовая, добавляла критичные системные каталоги в исключения антивируса. Вторая обеспечивала регулярный перезапуск вредоносного процесса.
Для маскировки бэкдор использовал технику process hollowing. Он создавал приостановленный легитимный процесс (например, один из системных .NET-процессов вроде MSBuild), затем выгружал его код из памяти и замещал своим собственным, после чего возобновлял выполнение потока. Это позволяло вредоносному коду работать под видом доверенного системного приложения. После успешного внедрения модуль связывался с командным сервером, отправлял детальную информацию о системе и запрашивал конфигурацию. Именно эта конфигурация должна была содержать ссылки для загрузки финального полезного груза (payload), такого как шпионское ПО, клавиатурный шпион или программа-вымогатель (ransomware).
Антивирусные продукты Huorong уже способны детектировать и блокировать все компоненты этой атаки, включая загрузчик, установщик ScreenConnect, бэкдор Jaqihe.dll и их вредоносную активность. Эксперты подчеркивают, что данный случай ярко демонстрирует тренд злоумышленников на использование легитимных инструментов удаленного администрирования (RAT) в своих целях. ScreenConnect, AnyDesk, TeamViewer и аналогичные программы часто обходят внимание базовых средств защиты, так как являются подписанными и широко используемыми в бизнес-среде.
Для защиты от подобных угроз Huorong рекомендует пользователям проявлять максимальную бдительность при загрузке программного обеспечения, особенно вспомогательных утилит, драйверов и игровых модов. Следует скачивать ПО только с официальных сайтов, всегда проверять цифровые подписи файлов и доменные имена. Кроме того, крайне важно использовать комплексное антивирусное решение с включенными функциями мониторинга рискованного программного обеспечения, включая модуль контроля за инструментами удаленного доступа, который может вовремя предупредить о несанкционированной установке таких программ. Регулярное обновление вирусных баз и сканирование системы на предмет подозрительных служб и запланированных задач также являются необходимыми мерами кибергигиены.
Индикаторы компрометации
Domains
- discordbots.ddnsgeek.com
- free-download.camdvr.org
- serverdnsplan.net
SHA256
- 6d3a8449056e4e240d9a319d5b6378a68d51c4e1bca4f4de77d5ba3ffd986017
- 6ed15aec7504081c3e14a9f6064d7b754aa283e4adb1a59edf3beff65369bc55
- 7d9b8d8c2b7d228e213084405a736311e31041bd9372ae9b6b4d61e5211e0ecd
- a948043b229ef354d08c2e57ac1bd56d3580d7429e90877da450358950e471fe
