Эксперты по кибербезопасности зафиксировали новую многоэтапную кампанию по распространению вредоносного ПО Formbook, использующую сложные методы обфускации для обхода систем защиты. Атака начинается с фишингого письма, содержащего ZIP-архив с VBS-скриптом, который затем запускает цепочку PowerShell-сценариев для загрузки основной полезной наргрузки.
Описание
По данным исследователя Ксавье Мертенса из SANS Internet Storm Center, опубликованным 13 ноября 2025 года, злоумышленники применяют многоуровневую обфускацию кода, чтобы скрыть вредоносную активность от анализаторов безопасности. Первоначальный VBS-скрипт маскируется под документ с подтверждением платежа, что является классическим социально-инженерным приемом.
Интересно, что скрипт использует нестандартный метод задержки выполнения вместо стандартной функции sleep, что позволяет избежать обнаружения системами мониторинга. Сначала выполняется девятисекундная пауза через цикл проверки времени, после чего скрипт динамически генерирует PowerShell-код путем конкатенации строк.
| 1 2 3 4 5 | Hump = DateAdd("s", 9, Now()) Do Until (Now() > Hump) Wscript.Sleep 100 Frozen = Frozen + 1 Loop |
Особенностью данной атаки является применение специальных функций деобфускации в PowerShell-сценариях. Функция Microcoulomb восстанавливает строки путем извлечения определенных символов из предоставленных данных, тогда как Blokbogstavers65 выполняет реконструированный код через Invoke-Expression. Такой подход значительно затрудняет статический анализ вредоносного кода.
Основная полезная нагрузка загружается с Google Drive через специально сформированный URL, что демонстрирует тенденцию злоумышленников использовать легитимные сервисы для распространения вредоносного ПО. Загруженный файл сохраняется в папке AppData с расширением .con, после чего следует процесс внедрения кода в легитимный процесс msiexec.exe.
Финальный этап атаки включает инъекцию Formbook в память процесса и установку механизма постоянства. Formbook представляет собой мощный шпионский инструмент, способный красть учетные данные, отслеживать нажатия клавиш и захватывать скриншоты. Командный сервер атаки располагается по адресу 216.250.252[.]227 на порту 7719.
Данный случай демонстрирует эволюцию тактик киберпреступников в области доставки вредоносного ПО. Многоэтапные атаки с использованием обфускации становятся стандартом, требуя от специалистов по безопасности более глубокого анализа поведения, а не только сигнатурного обнаружения.
Эксперты рекомендуют организациям усилить мониторинг PowerShell-активности, применять политики ограничения выполнения скриптов и обучать сотрудников распознаванию фишинговых атак. Кроме того, критически важно реализовать многоуровневую защиту, включающую анализ поведения процессов и сетевой активности.
Обнаруженный инцидент подчеркивает важность постоянного обновления знаний в области reverse engineering, поскольку современные угрозы часто скрываются за множеством слоев обфускации. Специалистам необходимо анализировать не только исполняемые файлы, но и различные скриптовые компоненты, которые могут составлять цепочку компрометации системы.
Индикаторы компрометации
IPv4 Port Combinations
- 216.250.252.227:7719
MD5
- 47871a3e549eb9b46c2777481792c00d
- b661b44c0a510c1de4931bb8a84a1776
SHA1
- 15e71bff5656ced812d38c11d90ecba24696664d
- 64114abc726cb917f17fcc5f9fc1abca1fe51c1e
SHA256
- 12a0f592ba833fb80cc286e28a36dcdef041b7fc086a7988a02d9d55ef4c0a9d
- d9bd350b04cd2540bbcbf9da1f3321f8c6bba1d8fe31de63d5afaf18a735744f
