Компания Palo Alto Networks обнаружила в дикой среде новую версию вредоносного ПО Neptune RAT, также известного как MasonRAT. По данным исследователей, версия 5.3 начала активно использоваться злоумышленниками уже с 27 мая 2025 года. Троян распространяется через JavaScript-файлы (.js), которые активируются при двойном клике и запускаются через wscript.exe.
Описание
После запуска JS-файл создает на диске BAT-скрипт, а последующие этапы заражения происходят исключительно в оперативной памяти, что усложняет обнаружение. Для обеспечения устойчивости вредонос копирует BAT-файл в автозагрузку Windows по пути C:\Users\[username]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\.
Анализ показал, что JS- и BAT-файлы содержат Base64-кодированные данные, включающие PowerShell-скрипт, который отключает защитные механизмы Windows - AMSI (Anti-Malware Scan Interface) и ETW (Event Tracing for Windows). Кроме того, в файлах обнаружены два зашифрованных .NET-исполняемых модуля и обфусцированный декодер для их восстановления.
Neptune RAT 5.3 обладает широким функционалом, получаемым с командного сервера: сбор системных данных, кражу криптовалютных транзакций (криптоклиппер), снятие скриншотов, мониторинг перемещения мыши, запись нажатий клавиш и загрузку дополнительных DLL-библиотек для расширения возможностей.
Эксперты рекомендуют пользователям соблюдать осторожность при открытии подозрительных файлов и обновлять антивирусные решения для защиты от подобных угроз.
Индикаторы компрометации
IPv4 Port Combinations
- 107.172.232.84:2468
Domains
- apostlejob3.duckdns.org
SHA256
- 0e5c2dc881698eddca82990a30bb2f734065b2eb9ea329b03fbf454e43a254e8
- 3d8c31a68e3fab61212af7ebb3024c5ab079cd205a9297333824f342113b6058
- 8fa3103bcd5d7d097dddcd0b1d56614b9787a019cfad2af0b5e24cd7f4b49e7a
- 9d86ea12e0643cd79f6f97202716d6e7b2a0f2dc81b9255719bb5ca7aaeebd12
- bd2cc2f1f25b5f520a87068475247dd5611ab9f199ed3264983d720e016acf66
- ef7f1ff249b03f69993926e01bb4b5e0055aa897634f8a10f24968b514d96b40
