Новый бэкдор GhostWeaver: угроза для корпоративных и домашних систем

Заражение начинается с поддельного обновления браузера, распространяемого через скомпрометированные сайты. Жертва загружает вредоносный JavaScript-файл, который затем загружает MintsLoader - многофункциональный загрузчик, использующий обфусцированный PowerShell-код. MintsLoader, в свою очередь, доставляет GhostWeaver, который устанавливает постоянное соединение с сервером управления и контроля (C2).

GhostWeaver обладает рядом опасных функций, включая генерацию доменных имен на основе текущей недели и года, что усложняет блокировку C2-серверов. Бэкдор также обходит проверку SSL-сертификатов, используя RemoteCertificateValidationCallback, который всегда возвращает true, что делает его менее заметным для систем мониторинга.

Одной из ключевых особенностей GhostWeaver является модульность: он способен загружать дополнительные плагины прямо в память, избегая записи на диск. Среди обнаруженных плагинов - крадчики данных (информаторы), такие как Juniper Stealer, которые собирают учетные данные из браузеров (Chrome, Firefox, Edge, Brave), почтовых клиентов (Outlook) и криптокошельков (MetaMask, Exodus, Electrum).

Особую опасность представляет плагин Formgrabber, который внедряет вредоносный JavaScript в веб-страницы, перехватывает вводимые данные (логины, пароли, OTP-коды) и даже подменяет криптовалютные адреса в буфере обмена. Кроме того, Formgrabber использует прокси-сервер для манипуляции трафиком и изменяет порядок шифров TLS, чтобы избежать детектирования по JA3-отпечаткам.

Атаки с использованием GhostWeaver не ограничиваются корпоративными сетями - злоумышленники активно атакуют и домашние системы, что указывает на финансовую мотивацию. Исследователи отмечают, что атакующий кластер, стоящий за SocGholish, известен под разными именами: GOLD PRELUDE, TA569, UNC1543, Mustard Tempest и DEV-0206.

Для защиты от этой угрозы эксперты рекомендуют:

• Ограничить выполнение PowerShell-скриптов в корпоративных сетях.
• Мониторить аномальные сетевые подключения, особенно к DGA-доменам.
• Проверять изменения в порядке шифров TLS и неожиданные прокси-настройки.
• Обновлять браузеры и ПО вручную, избегая подозрительных всплывающих окон с предложением обновлений.

Domains

• akami-cdns.com
• bmadfjbhnijhckh.top
• cdns-clfr-dns.com
• djdi6tukqamtyym.top
• miutubzxe.top
• query-dns-cdn.com
• r3vgxgl24fywid4.top
• rosettahome.top

URLs

• 64.52.80.211/1.php?s=boicn
• web3-authframe.top/st1?s=exodus_24
• web3-authframe.top/st1h?s=exodus_24

SHA256

• 33ea72b46af7bb2ecc0775f7536d3259f34bd7a13e298cac66649ee694097c2e
• 40ebd719aa66a88e261633887ed4e2c144bd11fbcc6f7793f9b32652cc5bf2d3
• 44dc2777ee8dd6d5cd8ebb10e71caf73b330940131417b5fca2b174a264e19e3
• 5051f0aa11da67e16797daa51992467ad45c5bf18dcd2e252e8aa63d3fce31bc
• 91e405e8a527023fb8696624e70498ae83660fe6757cef4871ce9bcc659264d3
• c7aa85c0b97c8f1f6f119109df02e0f33aa7cd495dd7399a39927c9f1fbc258b
• f2a1488df1036549da2da37bd9cbc2b411c3bb2c3d4d431bc2e86a744578ad37
• f39319312a567fa771921d11ece66f3ce8996ba45f90d6fc89031b621535eb7e