Киберпреступники нашли новый изощренный метод атак, который обходит технические средства защиты, эксплуатируя базовое доверие пользователей. Вместо взлома уязвимостей в программном обеспечении, злоумышленники создают почти идеальные копии официальных сайтов популярных программ. В одной из последних кампаний под прицел попал проект RustDesk - решение для удаленного доступа.
Описание
Атака начинается с обычного поиска в Google. Пользователь, которому требуется настроить удаленный доступ, ищет "RustDesk download". Среди топовых результатов может оказаться сайт-клон с адресом rustdesk[.]work, который визуально практически неотличим от легитимного rustdesk.com. На поддельном ресурсе присутствует вся документация, ссылки для загрузки и даже предупреждения о фейковых сайтах, что добавляет ему ложной достоверности.
![сайт-клон с адресом rustdesk[.]work](https://1275.ru/wp-content/uploads/2026/01/rustdesk.work_.webp)
После скачивания и установки приложение RustDesk запускается и работает абсолютно корректно. Именно в этом заключается главный обман. Пока пользователь видит ожидаемый функционал, в фоновом режиме устанавливается второй, скрытый компонент - вредоносная нагрузка (payload) под названием Winos4.0. Этот фреймворк представляет собой полноценный бэкдор, обеспечивающий злоумышленникам постоянный доступ (persistence) к системе.
Механизм заражения построен на многоэтапном процессе, направленном на уклонение от обнаружения. Первоначальный установочный файл выступает в роли троянизированного дроппера. Он записывает на диск два файла: легитимный установщик RustDesk, который запускается для отвода внимания, и вредоносный "logger.exe". Затем "logger.exe", выполняющий роль загрузчика, создает новый процесс с именем "Libserver.exe". Этот прием затрудняет анализ, так как защитные системы, ищущие "logger.exe", не находят активного процесса с таким названием.
Ключевая особенность атаки - работа в памяти. Основные модули фреймворка WinosStager, включая полезную нагрузку объемом около 128 МБ, распаковываются и функционируют исключительно в оперативной памяти, не сохраняясь на диск в виде отдельных файлов. Этот метод значительно снижает эффективность традиционных антивирусов, которые в основном полагаются на сканирование файловой системы. Обнаружение подобных угроз требует поведенческого анализа и мониторинга памяти.
Winos4.0 - это не просто вредоносная программа, а сложный фреймворк для удаленного доступа, ранее замеченный в кампаниях, преимущественно ориентированных на пользователей в Азии. После внедрения он предоставляет злоумышленникам широкий спектр возможностей: мониторинг активности жертвы, перехват нажатий клавиш, кражу учетных данных, загрузку и выполнение дополнительного вредоносного кода. Атака может стать первым этапом для шпионажа, кражи данных или последующего развертывания программ-вымогателей (ransomware).
Для маскировки используется несколько техник. Помимо работы в памяти, вредоносная программа проверяет среду на наличие инструментов отладки, что позволяет ей избегать анализа в песочницах безопасности. Она также запрашивает языковые настройки системы через реестр Windows, потенциально используя эту информацию для таргетирования или, наоборот, избегания определенных регионов. Кроме того, она очищает историю браузера, удаляя следы посещения вредоносного сайта, а свою конфигурацию хранит в зашифрованном виде в нестандартных разделах реестра.
Сетевой анализ показал, что вскоре после установки происходит установление соединения с командным сервером злоумышленников по адресу 207.56.13[.]76 на порт 5666/TCP. Особую хитрость демонстрирует маскировка этого трафика. Поскольку на компьютере жертвы действительно работает легитимный RustDesk, вредоносные подключения к командному серверу смешиваются с обычным сетевым трафиком программы к ее официальным серверам. Для средств сетевой безопасности (IDS/IPS) зараженный компьютер выглядит так, будто просто использует RustDesk по назначению.
Данная кампания демонстрирует тревожный тренд в киберпреступности: использование легитимного программного обеспечения в качестве камуфляжа для продвинутых угроз. Атакующим не потребовались уязвимости нулевого дня или сложные эксплойты. Их успех построен на социальной инженерии: регистрации убедительного доменного имени, клонировании официального сайта и подмене дистрибутива. Когда программное обеспечение работает именно так, как ожидает пользователь, у него не возникает поводов для подозрений. Этот случай лишний раз подчеркивает, что техническая сложность не всегда является главным критерием опасности атаки, а человеческий фактор остается одним из ключевых векторов угроз.
Индикаторы компрометации
IPv4 Port Combinations
- 207.56.13.76:5666
Domains
- rustdesk.work
SHA256
- 00781822b3d3798bcbec378dfbd22dc304b6099484839fe9a193ab2ed8852292
- 1354bd633b0f73229f8f8e33d67bab909fc919072c8b6d46eee74dc2d637fd31
- 330016ab17f2b03c7bc0e10482f7cb70d44a46f03ea327cd6dfe50f772e6af30
- 412b10c7bb86adaacc46fe567aede149d7c835ebd3bcab2ed4a160901db622c7
- 5d308205e3817adcfdda849ec669fa75970ba8ffc7ca643bf44aa55c2085cb86
- 770261423c9b0e913cb08e5f903b360c6c8fd6d70afdf911066bc8da67174e43
- 900161e74c4dbab37328ca380edb651dc3e120cfca6168d38f5f53adffd469f6
- a71bb5cf751d7df158567d7d44356a9c66b684f2f9c788ed32dadcdefd9c917a
- c612fd5a91b2d83dd9761f1979543ce05f6fa1941de3e00e40f6c7cdb3d4a6a0
