Новая волна атак с использованием Quasar RAT: зловредный код скрывается в BAT-файлах

Атака начинается с загрузки документа Microsoft Office, который открывается для отвлечения внимания жертвы. Параллельно запускается скрипт, загружающий второй этап вредоносной нагрузки - файл stub.bat, который отличается высокой степенью обфускации. Интересно, что на момент обнаружения файл имел крайне низкий уровень детектирования антивирусами - всего 1 из 61.

Скрипт использует сложную систему переменных среды и операторы goto для реконструкции кода, что затрудняет его анализ. После выполнения BAT-файл запускает два экземпляра PowerShell. Первый из них выполняет проверку на наличие песочницы, анализируя тип системного диска. Если обнаруживаются метки, характерные для виртуальных сред (например, "QEMU HARDDISK"), скрипт завершает работу, чтобы избежать обнаружения.

Второй PowerShell-скрипт загружает PNG-изображение, содержащее вредоносный код, который затем внедряется в процесс. Для этого используются методы криптографии и обфускации, включая декодирование Base64, шифрование TripleDES и распаковку GZip. Код также проверяет контрольную сумму SHA-256 перед выполнением, что усложняет его модификацию.

Для обеспечения устойчивости в системе злоумышленники создают задание в планировщике задач Windows. Командный сервер, используемый в этой кампании, располагается на домене JamieRose-42682[.]portmap[.]io.

Эксперты отмечают, что подобные техники демонстрируют растущую изощренность киберпреступников, которые активно используют обфускацию и анти-анализ для усложнения обнаружения своих инструментов. Пользователям и компаниям рекомендуется соблюдать осторожность при открытии подозрительных документов и регулярно обновлять системы защиты.

Domains

• JamieRose-42682.portmap.io

URLs

• https://i.ibb.co/NdvrqCDQ/j1bz.png
• https://store3.gofile.io/download/web/60e1cbe3-5bcb-4ce5-9807-096b7ef2152c/stub.bat