Казалось бы, новостей о фишинговых рассылках давно никто не удивляется. Однако инцидент, который в мае 2026 года расследовала команда SOC компании Huntress, демонстрирует тревожную эволюцию привычных угроз. Вместо простого вредоносного вложения злоумышленники развернули настоящий каскад технологий, сделав ставку на скрытность и практически полное отсутствие стандартных сигнатур. Всё началось с обычного письма, но закончилось заражением, которое почти не оставило следов.
Описание
На первый взгляд цепочка атак выглядела как рядовая рассылка вредоносных писем. Жертве приходило сообщение с вложенным HTML-файлом "Bestellung_2026.html", что в переводе с немецкого означает "заказ". Однако внутри файла не было ни кода, ни скрипта. Там находилась всего одна строка - мгновенная перенаправляющая мета-инструкция (meta-refresh). Именно она отправляла браузер пользователя на домен "ad.doubleclick.net", принадлежащий рекламной платформе Google.
Выбор DoubleClick не случаен. Это легитимный сервис с высочайшей репутацией, который редко попадает в чёрные списки и практически не вызывает подозрений у почтовых шлюзов и систем веб-фильтрации. Атакующие превратили его в идеальную ширму: снаружи виден лишь "белый" адрес, а настоящий вредоносный хост остаётся скрыт внутри цепочки перенаправлений. Это позволило обойти большинство средств защиты, которые проверяют URL-ссылки в письмах.
После прохода через DoubleClick жертва попадала на промежуточный сервер, который декодировал её электронный адрес из URL и перенаправлял далее - на фишинговый комплект. Здесь начиналась самая интересная часть атаки: злоумышленники использовали технологию динамической персонализации. Сайт на лету считывал домен компании жертвы, загружал её логотип через несколько сервисов вроде Clearbit, подставлял название в заголовок и даже отображал текущее местоположение пользователя на основе IP-адреса.
Исследователи из Huntress в своём отчёте подчеркнули, что такой подход позволяет масштабировать атаку без потери реалистичности. Каждая жертва видит страницу, которая выглядит как официальный портал её работодателя. При этом злоумышленникам не нужно готовить отдельный шаблон для каждой организации - достаточно одного универсального комплекта, который подстраивается под любого посетителя.
Когда пользователь нажимал кнопку "Скачать PDF", скрытая форма отправляла его адрес на сервер. В ответ приходил ZIP-архив с JScript-файлом. Это был не конечный вредоносный код, а лишь первая ступень многоэтапного загрузчика, который должен был доставить главный .NET-компонент.
JScript-файл был намеренно загрязнён огромным количеством мусорного кода: сотнями повторяющихся фиктивных функций, бесполезными строками и даже комментариями на португальском языке. Такая техника предназначена для обхода статического анализа антивирусными движками. Внутри файла скрывался большой блок закодированных данных, который после восстановления превращался в PowerShell-скрипт. Именно этот скрипт запускал последующую цепочку загрузок.
Сначала PowerShell проверял доступ к интернету: если соединения не было, он перезагружал компьютер, уничтожая следы своей активности. Затем скрипт проверял систему на наличие инструментов анализа, таких как Wireshark, отладчики и песочницы. Если детектировалась хотя бы одна программа, следовала немедленная перезагрузка - злоумышленники явно не хотели, чтобы их загрузчик изучали. Только после всех проверок PowerShell скачивал следующий файл - "03.txt".
Файл "03.txt" оказался .NET-сборкой, которая выполняла функции стейджера. Перед тем как приступить к своей основной работе, он проводил тщательную разведку: проверял наличие виртуальных машин (VMware, VirtualBox, Hyper-V), искал процесс QHActiveDefense (продукт Qihoo 360), а также анализировал запущенные программы и заголовки окон на предмет средств отладки. Если что-то вызывало подозрение, загрузчик записывал маркерный файл и завершал работу.
Если же среда признавалась "чистой", стейджер приступал к очистке. Он удалял все текстовые и PS1-файлы из временных папок и "C:\Users\Public", уничтожая предыдущие стадии атаки. Затем он создавал глубоко вложенную рабочую папку в "%UserProfile%\AppData\LocalLow\", используя названия, связанные с драйверами NVIDIA, чтобы замаскировать вредоносную активность под легитимную установку программного обеспечения.
Особого внимания заслуживает тактика обхода средств защиты. Если в системе не было антивирусов Avast, AVG или Malwarebytes, загрузчик запускал PowerShell-команды для отключения Защитника Windows: выключал мониторинг в реальном времени, отправку образцов и защиту от эксплойтов. После этого весь системный диск добавлялся в список исключений Защитника, делая его слепым к дальнейшим действиям злоумышленника.
Затем загрузчик скачивал три дополнительных файла, используя устаревшую строку User-Agent Internet Explorer 8 для маскировки сетевого трафика. Эти файлы обрабатывались через серию обратных преобразований: разбивку по разделителю, переворот строк, декодирование base64 и подстановку символов. В результате получался шаблон PowerShell, в который подставлялись значения времени выполнения. Этот шаблон в итоге выполнял рефлективную загрузку .NET-сборки "01.txt".
Файл "01.txt" содержал реализацию классической техники RunPE - внедрения кода в другой процесс. Он создавал копию легитимной утилиты (например, "InstallUtil.exe"), приостанавливал её, заменял содержимое памяти на вредоносный код и запускал процесс заново. Атакующие также проверяли процессы на наличие отладчиков и инструментов анализа, блокируя выполнение при их обнаружении. В одном из зафиксированных случаев целевым процессом для внедрения стал "MSBuild.exe" - ещё один штатный инструмент Windows, который не вызывает подозрений у администраторов.
Финальный этап атаки - загрузка упакованного C2-клиента. Внедрённый код содержал ещё один слой шифрования и сжатия. После расшифровки проявлялась конфигурация с двумя серверами управления, портом и уникальными идентификаторами. Конечная полезная нагрузка взаимодействовала с "catalogo.castrouria[.]com" и "andrefelipedonascime...meusitehostgator.com[.]br", используя AES-шифрование и обмен ключами через RSA.
После установки постоянного закрепления в системе злоумышленники тщательно скрывали свои следы. В реестре создавались записи в разделах Run и RunOnce с названиями вроде "Update Drivers NVIDEO", а также планировщик задач, перезапускавший загрузчик каждые 8-11 минут. Для обхода современных защитных механизмов вредоносная программа патчила функции NtManageHotPatch и EtwEventWrite, отключая мониторинг Windows и логирование ETW, что делало атаку невидимой для большинства систем обнаружения.
Этот случай доказывает, что фишинг больше не является простым способом доставки одного вредоноса. Сегодня это входная точка для сложных многоэтапных операций, где каждый уровень тщательно просчитан, а каждая аномалия маскируется. Организациям, которые хотят защититься от подобных угроз, стоит обратить внимание на базовые, но эффективные меры: настройку политик, заставляющих открывать HTML и JS-файлы в блокноте, внедрение строгих проверок вложений на почтовых шлюзах, регулярное обучение сотрудников и использование средств защиты, способных проверять ссылки в момент клика, а не доставки письма.
Индикаторы компрометации
Domains
- afxwd.ddns.net
- andrefelipedonascime1778799406970.2241107.meusitehostgator.com.br
- bth.startthewave.org
- catalogo.castrouria.com
- fostercareintheus.optimizationprime.com
- xtadts.ddns.net
URLs
- pengajian.muliastudy.com/images/edu/u.php
SHA256
- c356aff1a01c2b0da472e584c8e3c8f875b9a24280435d42836a77b19f5a8c18
- c61b1941cf756eb7551f7c661743802362728b785adc22e860d269713dfb01a6
- d5b7247c497788cf0031ceb06e3df77a45fef59f1e49633dc7159816d64759b5
- e91fb249aa97be5c7931e430781167edfe7ba804720b5f643e6ab70b7e6e74dd
- f1c3ebe78bd8c38559bf3cfcc9a9fa37d221e31780774a3787e26160a61f5348