Новый уровень фишинга: как LNK- и BAT-файлы становятся оружием киберпреступников

В первом случае аналитики столкнулись с LNK-файлами, содержащими зашифрованные PowerShell-скрипты, а во втором - с BAT-файлами, запускающими цепочку загрузки обфусцированных Python-модулей. Оба метода объединяет фишинговая рассылка как основной вектор атаки, где вредоносные вложения маскируются под ZIP-архивы, иногда защищенные паролями, указанными в теле письма.

Исследование LNK-файлов выявило сложный механизм сокрытия вредоносного кода. При анализе hex-редактором специалисты обнаружили, что ярлыки содержат закодированные в base64 аргументы "a" и "b", где первый представляет зашифрованный скрипт, а второй - ключ дешифровки. Используя модифицированный PowerShell без команды Invoke-Expression, эксперты расшифровали алгоритм: злоумышленники применяли System.Security.Cryptography.AesManaged для симметричного шифрования AES. Расшифрованный сценарий пытался загрузить и исполнить файл с удаленного ресурса emptyservices[.]xyz, который на момент анализа был недоступен. Ключевая деталь - переменная $KEYIV, предположительно используемая для дешифровки основной нагрузки.

Более многослойная атака через BAT-файлы поражает своей продуманностью. Первоначально файл отображался как набор нечитаемых символов в стандартном блокноте. С помощью CyberChef и плагина Text_Encoding_Brute_Force специалисты определили кодировку UTF-16LE, после чего раскрыли многоступенчатый сценарий. Он включал отвлекающий маневр с открытием PDF в папке Downloads, поиск антивирусных процессов, каскадную загрузку файлов из интернета и запуск Python-скриптов. Особое внимание привлек файл startuppp.bat, прописываемый в автозагрузку, который активировал серию скомпилированных .py-файлов типа fv1.py и yam1.py. Декомпиляция через PyLingual выявила класс Kramer, указывающий на применение обфускатора kramer-specter. После деобфускации проявился механизм расшифровки и выполнения шеллкода.

Наиболее опасным аспектом BAT-атаки оказалась техника внедрения кода в легитимные процессы. Каждый из шести вредоносных модулей создавал экземпляр notepad.exe, используя технику parent process spoofing для маскировки под Explorer.exe. Это не только затрудняет обнаружение средствами защиты, но и вводит в заблуждение исследователей при анализе процессов. Динамический тест показал, что внедренный код сохраняет устойчивость даже после закрытия терминала, а его модульная архитектура позволяет гибко адаптировать функционал.

Эксперты UserGate подчеркивают, что обе атаки демонстрируют тревожную тенденцию: киберпреступники активно используют легитимные инструменты Windows (CMD, PowerShell, Python) в сочетании с простыми, но эффективными методами сокрытия. Криптография в LNK-файлах обходит сигнатурные детекты, а многоэтапная цепочка BAT-файлов затрудняет анализ поведенческими системами. При этом сложность атак не требует от злоумышленников глубоких знаний - большинство инструментов (обфускаторы, шифраторы) доступны в darknet.

В заключение исследователи отмечают, что защита от таких угроз требует комплексного подхода. Помимо регулярного обучения пользователей распознаванию фишинга, необходимы решения, анализирующие цепочки процессов, детектирующие аномальное поведение скриптов и проверяющие контекст выполнения команд. Ручной анализ, как продемонстрировала команда UserGate, остаётся критически важным для выявления новых TTPs (Tactics, Techniques and Procedures) и обновления защитных механизмов. Кибербезопасность превращается в непрерывную гонку, где понимание методик противника становится ключом к построению эффективной обороны.

IPv4

• 12.187.175.72

URLs

• http://dbasopma.one:6049/bab.zip
• http://dbasopma.one:6049/cam.zip
• http://dbasopma.one:6049/FTSP.zip
• http://dbasopma.one:6049/PWS.vbs
• http://dbasopma.one:6049/PWS1.vbs
• http://dbasopma.one:6049/startuppp.bat
• https://emptyservices.xyz/public/904e5c82a258472395094ca10082fdfb.txt

MD5

• 027b0fe02fcb8f3abf10941c8a7409aa
• 0628e001040172046528325e189b43e2
• 06480f1e6aa48daab019e8f1a6b834c9
• 09ced038c86243c2fdcf7478e41e69db
• 0a8656dd5ea10669617881d384ec531b
• 14fff2e3ec317ba6174c73d8ff432e89
• 2862ffb5ea32ff114bebe41576441b02
• 2937c54a89355dd0e1c5ee87145635ae
• 2a87efce9af96a06278423d7d1e32685
• 2e4249736ffe4977ef0e667675dfa0b7
• 34f4db87eb50604d1f2dc6862d0ce0d2
• 566bbee17a5af649e465b7dfba1f2de0
• 6342a69ed8ea8af5424eb4749e571e97
• 7be44884a763ee99b69a3388407cff98
• 7d7b89cb7fa6155b1e01334175ac1c5b
• 7e0327b8f7ca202d364b7cd6c66a86be
• 8113a620761a6da49ce678f56f48ce8e
• 935814f39b1b39fe0fe9186e560321dd
• a06c4773ca80b0b7d0fcc05e663cec3d
• a149927719c37087abd9782a281bd0c4
• a7c55ff964188d62485692b6c2061a8a
• abe3d57fde219f4fb7e59c9a0c8a260f
• add4dd9dfa71108b7bedadb6e97987e5
• b79e56969d36c4b969bbe1623142e74a
• baed94b62771a3b551c0462f22561f80
• c437b4a8b925c986d9cd660295e6e2e4
• d20a1dcef8d4e48bfaa90abd0d5516bd
• dabb3e0db9cb70b1dcdb011295b41ef4
• de51465cec3b469fa1f6cab087a47f71
• e9dc79e096ccd79ea1daf0203eeec102
• edb374796f6fe20e3b62962811968142
• f3574e48592f487fe7ad041c6f5bbab7
• fe7d106dca7cfd92e8e375103703cfff

SHA1

• 01450c1567a96dde91c50638c0fc42ca71f25777
• 09b5de02a26f602806a09f7f4fcd858c99acc588
• 09c5482a10b9c35e94356e4333cd2342aa94c3f0
• 226940eb6ae3e6069f7a93fe8d800437941d0c07
• 279ed2b31867519e834680df2a86e8aa894b61d2
• 3d236f99d1f558e6bfc960733e3f46f55199848b
• 4003ccd4098d2f56255e2bec992cfe978cfc4b6d
• 4586aff8e8f603adc3785dd5137844658120b16e
• 63605c2c5484ccfd359af5da9714508698e9efe3
• 671b7940be5f857e1f517bf784a672feba221de9
• 7140f0c13191c10b93cd8cb15b667c40cccfb842
• 80e8b62250ab32810e8da4fe602b29d303b3a247
• 825ee18ad6645e7634fc2524af5ef1d394dfab00
• 8bd2e47531a2676448b3e1dc793919edc898fb84
• 8f887607d01d99fce12eb47ce4cd7632b4a5931f
• 906afab8bdd31666889ff5941c72d79396f69f01
• 992a557755273e7966198a32bfcaa03c4258a183
• a7bcc5273b86e75dad66fed8fab1ec546ffa3bfd
• a8077647e030ec604d2576b36b6ddc3086ecf38b
• adacd10869352a8cf03e9836795b01f7a062377c
• b27ab2cafe49b438cdca41dbfe85306729ba0a32
• c735c2d22e2fe79a39111e76a9966d0720f023a1
• caaa211710b53c9cab8fcdb45772b05e39e3af13
• cf8f946d49f5e3db3b7535d3c3e1b25a0de238e0
• d3939d3eed0341cf0b8eb256142487690300aaec
• d44e59b64d443b82e5123af9f7a46c6866503c31
• d9e78d276186e5ca049724796494489e228ff431
• dac3c1cac7de687cc427c899202f497c4078be8a
• e0b2eaefe9e4e023e7314dff213fa535e3fb3274
• e777ad0ff4d4510ee345c06c34123b279b0b7ad6
• ea0578a49f184ba9d1271619f9639f586dae591a
• f530e1fd18a0f31eddf70c5491e3b03235416b30
• ffb8a0d984e443250676957bfc16d02223e38ce7

SHA256

• 0d7cee0c13374181a23e8f605b32f2969c9c490b83c7891318f26bd17777fd7c
• 12c1d0dc09a545bda4b219bb87fac6b5a222f7c02a414ee26e0ac92162892f92
• 162c6ad1d8e19372b4ea0dacffae8947e2b1477498cb12c3e5f3a0923f98e33f
• 2997b820a4834add998b16e373eb7c63a4b72eb508a09c57b0f04a2557438c94
• 2fc47aceb8eeb0ac4d47d5b2002275d961a0a39fe77069500de2ab8c0ba03a44
• 382dbe6d39c39fd38e1ee247592deaab1d55a4525f062cb9372de08cb842330e
• 4c74b2d6f11f51c776c3d15c8cabc530653a57ed3dfd27b3804c81cc975311de
• 511565889577b25381558039feaf37ec36d98806fbc5d643dc8a51ee5aab37e6
• 5645e16631e12be7eb36aeba6fe76cdff82b8be163a44a442188d90fb44cec34
• 59d1768012f0449539cb7fec717d8ff39906009c288bf4db6a0bee19c13d8754
• 5bb7b38fb90155537984893cb90375a39815669e728fd84d08accd8b67079198
• 5d932bfda0ffd31715700de2fd43fc89c0f1d89eeabac92081ebe2062da84152
• 64b72524187da048c17958c5915d746a6ea3d283b8d6c91d60353c12109968fe
• 64ebc4b51139cc65b4140f8600b7d3e5f40c7d6b3fb754c29b6d5801c6605e2f
• 6eb141225c4e4bfe3c347cac44b939ef697616b32e7d3646d6944210d99d0960
• 7023f20f5264c9d83b17d995a07f0cc255fa0861c5bf83101034a430c8ff85d6
• 7184b9380355584e2c2279cd3bf50ba651b26848f390e723dc33f80ef865f9d2
• 75cf8d1c43fad756cb9c6da084a71ee50bd3d4a46e870df14cdd2135d86681a5
• 7bb3936b975266dfac275080576000fc368ca7388dd1931f891cc80565c82daa
• 7c8be71b3cfef2de7343bd48d20e33a6f2f94409d59c50f5ac3a5bbd703789fc
• 863b88cf2b1c425d01aaad64bcdf4317d704c4041482ea21cceffc26a7fde4ea
• 8877e607552950a006062ee083437e733de5f502c0979b8de20962327d426395
• 8ea818f50a520660e3a62fcbba9e3df82635bf1b2d9530c24fa6624187ba628c
• 8ed0e51fac43d041360f5a7b8b59285f6c98a1f3954401d4c4b8f5a95eface0f
• 8fbb326abcc859280a33343cbd3ffc3dcc5366123da25d99868e950100a21fec
• 96bd07804ef395303c7ddb88066b607e13d35e339c87d8d1cb6f838e560caddc
• c1969a287c8425d306dab962572667b26ad2135376d3dc24fdf6dba52d6ee62b
• c20a2d5c4bd09c1858ac88c8900609c9306e59e412d1d3b37be5c5971d9561f4
• da82cbbc5da3b329a120540ea4543e31e354e125f7051c0dc35874b5b9a00c9c
• ece1e5b6e77d8da8ecdaed554eb09670f0c1bbf80dadd783b6d904542f72ba0e
• f136acbb905459aa3292dd65c86361cb863c94d710ade951ac2208a88c36ec6a
• f3661f62ec4a6d8a2077a4f882627c2e039a5270d5e73684881711c712710d23
• fa11c54afcffef94b6e0ee284b37d2c4376f0f7d3295f6fb6fa2d67fb607da2f