Новый стелс-троян NordDragonScan атакует пользователей Windows через поддельные архивы и HTA-скрипты

Атака начинается с фишинговых ссылок, замаскированных под короткие URL-адреса. Жертвы перенаправляются на сайт secfileshare[.]com, где незаметно для пользователя загружается архив с названием «Укрспецзв_Акт_30_05_25_ДР25_2313_13 від 26_02_2025.rar». Внутри архива находится LNK-ярлык, который автоматически запускает mshta.exe для выполнения вредоносного HTA-скрипта «1.hta». На этом этапе злоумышленники применяют несколько хитрых уловок: копируют легитимный PowerShell.exe в папку Public\Documents под видом «install.exe», загружают зашифрованный TXT-файл, который превращается в безвредный документ с украинским текстом, отвлекающий пользователя. Однако параллельно в фоновом режиме на компьютер жертвы загружается и запускается основной вредоносный компонент - adblocker.exe, размещенный в папке AppData\Local\Temp.

NordDragonScan отличается сложной структурой и использует несколько методов для скрытия своей активности. Вредоносная программа написана на .NET и содержит механизмы XOR-шифрования и замены байтов, затрудняющие статический анализ. После запуска троян создает скрытую рабочую папку «NordDragonScan» в директории %LOCALAPPDATA%, где временно хранит похищенные данные перед отправкой на сервер управления. Для обеспечения долговременного присутствия в системе злоумышленники добавляют в реестр запись «NordStar» в раздел автозагрузки.

Одной из ключевых функций трояна является сбор разнообразной информации о зараженной системе. NordDragonScan использует WMI-запросы и вызовы .NET для сбора данных об имени компьютера, учетной записи пользователя, версии ОС, характеристиках процессора, оперативной памяти и сетевых адаптерах. Особую опасность представляет его способность сканировать локальную сеть - троян вычисляет диапазон IP-адресов и проверяет доступность других устройств в той же подсети, что может свидетельствовать о подготовке к более масштабным атакам.

Главная цель NordDragonScan - кража конфиденциальных данных. Троян делает скриншот экрана, сохраняя его как «SPicture.png», а затем приступает к сбору информации из браузеров Chrome и Firefox, включая куки, пароли и историю посещений. Дополнительно вредоносная программа ищет документы с расширениями .docx, .xls, .pdf, .ovpn и .rdp в папках пользователя (Рабочий стол, Документы, Загрузки) и копирует их в свою рабочую директорию.

Собранные данные отправляются на сервер управления kpuszkiev.com через зашифрованное TLS-соединение. Для идентификации жертвы NordDragonScan использует нестандартный User-Agent («RTYUghjNM») и MAC-адрес компьютера. Весь процесс передачи данных тщательно замаскирован - например, при отправке системной информации троян добавляет заголовок «Backups:» и изменяет User-Agent на «Upload».

Эксперты по кибербезопасности отмечают, что основная опасность NordDragonScan заключается в его скрытности и многоступенчатой схеме заражения. Пользователи могут даже не подозревать о компрометации, так как на первый план выводится безвредный документ, а вредоносная активность происходит в фоне. Для защиты от подобных угроз рекомендуется проявлять крайнюю осторожность при работе с недоверенными архивами и ярлыками, особенно полученными из подозрительных источников. Также важно регулярно обновлять антивирусное ПО и использовать механизмы мониторинга сетевой активности для выявления аномальных соединений.

Угроза NordDragonScan подчеркивает растущую изощренность киберпреступников, которые сочетают социальную инженерию, сложные техники обфускации и автоматизированный сбор данных. Организациям стоит обратить внимание на обучение сотрудников основам кибергигиены и внедрение решений для анализа поведения процессов, способных выявлять подобные скрытые угрозы.

Domains

• kpuszkiev.com
• secfileshare.com

SHA256

• 2102c2178000f8c63d01fd9199400885d1449501337c4f9f51b7e444aa6fbf50
• 39c68962a6b0963b56085a0f1a2af25c7974a167b650cf99eb1acd433ecb772b
• 3f3e367d673cac778f3f562d0792e4829a919766460ae948ab2594d922a0edae
• 7b2b757e09fa36f817568787f9eae8ca732dd372853bf13ea50649dbb62f0c5b
• 9d1f587b1bd2cce1a14a1423a77eb746d126e1982a0a794f6b870a2d7178bd2c
• e07b33b5560bbef2e4ae055a062fdf5b6a7e5b097283a77a0ec87edb7a354725
• f4f6beea11f21a053d27d719dab711a482ba0e2e42d160cefdbdad7a958b93d0
• f8403e30dd495561dc0674a3b1aedaea5d6839808428069d98e30e19bd6dc045
• fbffe681c61f9bba4c7abcb6e8fe09ef4d28166a10bfeb73281f874d84f69b3d