В начале 2025 года специалисты по информационной безопасности обратили внимание на сложный и многоэтапный вредоносный код, маскирующийся под популярный софт для работы с прокси. Атака начинается с простого поиска в интернете программного обеспечения Proxifier или его аналогов - инструментов, необходимых для туннелирования трафика приложений, не поддерживающих прокси-серверы напрямую. Такие программы часто используются в корпоративных средах разработки. Однако вместо легального ПО пользователи рискуют получить троянца, конечной целью которого является кража криптовалюты путём подмены адресов в буфере обмена.
Описание
Инцидент демонстрирует, как сочетание социальной инженерии, сложной цепочки заражения и файловых техник позволяет злоумышленникам эффективно обходить базовые средства защиты. Основной вектор - поддельный установщик, размещённый на популярной платформе для разработчиков GitHub. Пользователь, ищущий бесплатный или взломанный Proxifier (проприетарное ПО от VentoByte), в результатах поиска находит репозиторий. В разделе релизов лежит архив, содержащий, казалось бы, установочный файл и текстовый документ с серийными ключами. На деле исполняемый файл представляет собой оболочку, которая сначала запускает вредоносный код, а лишь затем - легальный инсталлятор.
Первым делом троянец предпринимает шаги для нейтрализации встроенного защитника Windows. Его методика отличается нестандартным подходом. Создаётся небольшая "донорская" процесс-заглушка, в которую внедряется .NET-приложение. Оно, в свою очередь, запускает скрипт PowerShell, используя класс PSObject. Этот метод позволяет выполнить код непосредственно в памяти текущего процесса, без вызова консоли или отдельного интерпретатора, что затрудняет обнаружение. Скрипт добавляет в исключения Microsoft Defender файлы с расширением TMP и директорию, где находится троянец.
После успешного ослабления защиты начинается следующий этап. Зловред создаёт запланированную задачу, которая обеспечивает его постоянство в системе. Задача запускает PowerShell, который считывает, декодирует и выполняет скрипт, хранящийся в созданном ранее ключе реестра. Этот скрипт отвечает за загрузку следующей ступени полезной нагрузки с публичных сервисов вроде Pastebin, как [сообщили] эксперты "Лаборатории Касперского" в своём разборе. Цепочка загрузки продолжается, и в конечном итоге с GitHub загружается крупный скрипт размером около 500 КБ. Его основная функция - извлечение шелл-кода, его внедрение в легитимный системный процесс fontdrvhost.exe и передача ему управления.
Финальная полезная нагрузка представляет собой классический ClipBanker - вредоносную программу, написанную на C++ и скомпилированную с помощью MinGW. Она не пытается закрепиться в системе на глубоком уровне и не устанавливает сетевых соединений. Её единственная задача - постоянно мониторить буфер обмена на предмет строк, похожих на адреса криптовалютных кошельков. При обнаружении такого адреса, принадлежащего одной из множества поддерживаемых блокчейн-сетей (включая Bitcoin, Ethereum, Solana, Cardano и другие), программа незаметно для пользователя подменяет его на один из адресов, контролируемых злоумышленниками. Таким образом, при попытке перевода средств криптовалюта уходит на кошелёк атакующих. В аналитическом отчёте приведён полный список из нескольких десятков адресов-заменителей.
Статистика показывает, что с начала 2025 года с данной угрозой столкнулись более 2000 пользователей решений "Лаборатории Касперского", причём большинство из них находятся в Индии и Вьетнаме. Примечательно, что около 70% детектирований пришлось на бесплатную утилиту Kaspersky Virus Removal Tool, предназначенную для очистки уже заражённых устройств. Этот факт ярко иллюстрирует важность превентивной защиты: предотвратить инцидент, как правило, проще и дешевле, чем бороться с его последствиями, особенно когда речь идёт о прямой финансовой потере.
Данная кампания служит наглядным напоминанием о рисках, связанных с загрузкой программного обеспечения из непроверенных источников в погоне за экономией. Злоумышленники активно продвигают свои ресурсы в поисковых системах, а использование файловых техник и длинной цепочки выполнения позволяет им долгое время оставаться незамеченными. Для защиты специалистам по информационной безопасности рекомендуется ужесточить политики контроля за запуском приложений и скриптов, особенно PowerShell, а также рассмотреть решения для контроля целостности памяти процессов. Обычным пользователям стоит придерживаться простого правила: скачивать софт исключительно с официальных сайтов разработчиков и использовать надёжные защитные решения, способные блокировать сложные многоэтапные атаки на ранних стадиях.
Индикаторы компрометации
URLs
- https://chiaselinks.com/raw/nkkywvmhux
- https://gist.github.com/msfcon5ol3/107484d66423cb601f418344cd648f12/raw/d85cef60cdb9e8d0f3cb3546de6ab657f9498ac7/upxz
- https://git.parat.swiss/rogers7/dev-api/raw/master/cpzn
- https://github.com/lukecodix/Proxifier/releases/download/4.12/Proxifier.zip
- https://paste.kealper.com/raw/k3K5aPJQ
- https://pastebin.com/raw/FmpsDAtQ
- https://pinhole.rootcode.ru/rogers7/dev-api/raw/master/cpzn
- https://rlim.com/55Dfq32kaR/raw
- https://snippet.host/aaxniv/raw
MD5
- 34a0f70ab100c47caaba7a5c85448e3d
- 7528bf597fd7764fcb7ec06512e073e0
- 8354223cd6198b05904337b5dff7772b
