Киберугроза "Черный кот": Фишинг через поисковики и скрытые трояны в популярном ПО

Тактика атаки основана на тонкой подмене легитимных ресурсов. Группировка регистрирует доменные имена, визуально неотличимые от официальных сайтов разработчиков ПО (например, mlcrosoft[.]cyou вместо microsoft), после чего проводит агрессивную SEO-оптимизацию. Поисковые системы, обманутые искусственно накрученной релевантностью, помечают фишинговые страницы значком "Официально", что многократно повышает доверие пользователей. На скопированных до мелочей сайтах единственным отличием становится подмененная ссылка загрузки, ведущая на серверы злоумышленников.

Технический анализ выявил сложную многоступенчатую архитектуру вредоносных пакетов. Установщики, упакованные в Inno Setup, при инсталляции легального ПО параллельно запускают скрытые процессы (fgUSymqzvm.exe, stQkSAAC.exe). Эти исполняемые файлы загружают защищенные обфускацией DLL-библиотеки (Y6vv.dll, KpKUt8.dll), которые реализуют алгоритм дешифровки вторичных нагрузок. Ключевой особенностью стал метод сокрытия троянов: вредоносный код спрятан внутри файлов с расширениями .kw и .T0 под видом графических данных. Алгоритм дешифровки ищет в бинарном потоке маркер "IDAT" (характерный для PNG-изображений), извлекает 16-байтовый RC4-ключ и расшифровывает последующие 8 192 байта данных.

Расшифрованная нагрузка представляет собой полнофункциональный троян удаленного доступа, который устанавливает соединение с командными серверами. В первом документированном случае это домен xat.tk9885[.]com (IP: 202.79.175[.]117), зарегистрированный в апреле 2025 года. Во втором инциденте использовался адрес mm.opi6qi5k[.]com (IP: 143.92.60[.]214) с регистрацией от февраля 2025 года. Оба домена не имели легитимного трафика, а их жизненный цикл соответствовал типичным схемам эксплуатации временных C2-инфраструктур. Мониторинг сетевой активности показал, что пиковое количество обращений зараженных устройств к серверам управления достигало 18 913 сессий в сутки, что свидетельствует о высоком уровне координации атаки.

География инфицирования охватывает всю территорию КНР, причем группировка применяет регионально адаптированные версии фишинговых страниц для повышения конверсии. Интересно, что трояны включают механизм проверки окружения: перед подключением к C2 они отправляют тестовые запросы на поддельные домены типа "fyat.mlcrosoft[.]cyou", которые резолвятся в зарезервированный адрес 114.114.114[.]114. Это позволяет злоумышленникам фильтровать анализ в песочницах или виртуальных средах.

CNCERT подтвердил взаимодействие с ведущими поисковыми провайдерами для удаления скомпрометированных результатов. Однако динамичность кампании затрудняет оперативное блокирование: "Черный кот" оперативно развертывает новые домены и зеркала, используя децентрализованную инфраструктуру. Эксперты подчеркивают, что традиционные методы верификации сайтов (проверка SSL-сертификатов, наличие "зеленого замка") неэффективны против таких атак, поскольку фишинговые ресурсы технически корректно реализуют все протоколы безопасности.

Особую тревогу вызывает масштаб утечки данных: трояны предоставляют злоумышленникам полный контроль над устройствами, включая доступ к камерам, микрофонам и файловым системам. Мониторинг зараженных хостов показал активную передачу конфиденциальных документов, учетных данных и персональной информации. Учитывая, что основными жертвами становятся рядовые пользователи, не обладающие специализированными средствами защиты, долгосрочные последствия инцидента могут проявиться в виде вторичных атак на корпоративные сети через скомпрометированные домашние устройства сотрудников.

Активность группировки "Черный кот" демонстрирует эволюцию киберпреступных моделей: вместо прямых атак на корпорации злоумышленники фокусируются на массовом заражении через доверенные каналы дистрибуции ПО. Техника эксплуатации доверия к поисковым системам представляет особую опасность, поскольку обходит большинство поведенческих моделей защиты. Текущая кампания продолжает развиваться, о чем свидетельствует регулярное обновление доменов C2 и вариаций вредоносного кода. Специалисты прогнозируют возможное распространение тактики на другие географические регионы в ближайшие месяцы.

IPv4

• 143.92.60.214
• 202.79.175.117

Domains

• fyat.mlcrosoft.cyou
• fymaimai.mlcrosoft.asia
• i4.com.vn
• mm.opi6qi5k.com
• www.imqqd.com
• xat.tk9885.com

URLs

• https://kuaianlest.oss-ap-southeast-1.aliyuncs.com/qq_9.9.025311.zip
• https://oss12318.oss-cn-hongkong.aliyuncs.com/i4aisizshou06.23.09.zip
• https://windqq.oss-ap-southeast-1.aliyuncs.com/windo-qq64.zip
• https://www.imqqd.com/qq_9.9.025311.zip

MD5

• 9d32902ad0d9f44e7f594d97d0fb88ab
• f86ecc767faa13fd8dc55d51878d3cc6