Команда UserGate uFactor опубликовала тревожные результаты исследования современных фишинговых атак, где злоумышленники используют казалось бы безобидные ярлыки и пакетные файлы для доставки сложных вредоносных нагрузок. Специалисты UserGate провели детальный разбор двух изощренных сценариев, демонстрирующих эволюцию тактик киберпреступников.
Описание
В первом случае аналитики столкнулись с LNK-файлами, содержащими зашифрованные PowerShell-скрипты, а во втором - с BAT-файлами, запускающими цепочку загрузки обфусцированных Python-модулей. Оба метода объединяет фишинговая рассылка как основной вектор атаки, где вредоносные вложения маскируются под ZIP-архивы, иногда защищенные паролями, указанными в теле письма.
Исследование LNK-файлов выявило сложный механизм сокрытия вредоносного кода. При анализе hex-редактором специалисты обнаружили, что ярлыки содержат закодированные в base64 аргументы "a" и "b", где первый представляет зашифрованный скрипт, а второй - ключ дешифровки. Используя модифицированный PowerShell без команды Invoke-Expression, эксперты расшифровали алгоритм: злоумышленники применяли System.Security.Cryptography.AesManaged для симметричного шифрования AES. Расшифрованный сценарий пытался загрузить и исполнить файл с удаленного ресурса emptyservices[.]xyz, который на момент анализа был недоступен. Ключевая деталь - переменная $KEYIV, предположительно используемая для дешифровки основной нагрузки.
Более многослойная атака через BAT-файлы поражает своей продуманностью. Первоначально файл отображался как набор нечитаемых символов в стандартном блокноте. С помощью CyberChef и плагина Text_Encoding_Brute_Force специалисты определили кодировку UTF-16LE, после чего раскрыли многоступенчатый сценарий. Он включал отвлекающий маневр с открытием PDF в папке Downloads, поиск антивирусных процессов, каскадную загрузку файлов из интернета и запуск Python-скриптов. Особое внимание привлек файл startuppp.bat, прописываемый в автозагрузку, который активировал серию скомпилированных .py-файлов типа fv1.py и yam1.py. Декомпиляция через PyLingual выявила класс Kramer, указывающий на применение обфускатора kramer-specter. После деобфускации проявился механизм расшифровки и выполнения шеллкода.
Наиболее опасным аспектом BAT-атаки оказалась техника внедрения кода в легитимные процессы. Каждый из шести вредоносных модулей создавал экземпляр notepad.exe, используя технику parent process spoofing для маскировки под Explorer.exe. Это не только затрудняет обнаружение средствами защиты, но и вводит в заблуждение исследователей при анализе процессов. Динамический тест показал, что внедренный код сохраняет устойчивость даже после закрытия терминала, а его модульная архитектура позволяет гибко адаптировать функционал.
Эксперты UserGate подчеркивают, что обе атаки демонстрируют тревожную тенденцию: киберпреступники активно используют легитимные инструменты Windows (CMD, PowerShell, Python) в сочетании с простыми, но эффективными методами сокрытия. Криптография в LNK-файлах обходит сигнатурные детекты, а многоэтапная цепочка BAT-файлов затрудняет анализ поведенческими системами. При этом сложность атак не требует от злоумышленников глубоких знаний - большинство инструментов (обфускаторы, шифраторы) доступны в darknet.
В заключение исследователи отмечают, что защита от таких угроз требует комплексного подхода. Помимо регулярного обучения пользователей распознаванию фишинга, необходимы решения, анализирующие цепочки процессов, детектирующие аномальное поведение скриптов и проверяющие контекст выполнения команд. Ручной анализ, как продемонстрировала команда UserGate, остаётся критически важным для выявления новых TTPs (Tactics, Techniques and Procedures) и обновления защитных механизмов. Кибербезопасность превращается в непрерывную гонку, где понимание методик противника становится ключом к построению эффективной обороны.
Индикаторы компрометации
IPv4
- 12.187.175.72
URLs
- http://dbasopma.one:6049/bab.zip
- http://dbasopma.one:6049/cam.zip
- http://dbasopma.one:6049/FTSP.zip
- http://dbasopma.one:6049/PWS.vbs
- http://dbasopma.one:6049/PWS1.vbs
- http://dbasopma.one:6049/startuppp.bat
- https://emptyservices.xyz/public/904e5c82a258472395094ca10082fdfb.txt
MD5
- 027b0fe02fcb8f3abf10941c8a7409aa
- 0628e001040172046528325e189b43e2
- 06480f1e6aa48daab019e8f1a6b834c9
- 09ced038c86243c2fdcf7478e41e69db
- 0a8656dd5ea10669617881d384ec531b
- 14fff2e3ec317ba6174c73d8ff432e89
- 2862ffb5ea32ff114bebe41576441b02
- 2937c54a89355dd0e1c5ee87145635ae
- 2a87efce9af96a06278423d7d1e32685
- 2e4249736ffe4977ef0e667675dfa0b7
- 34f4db87eb50604d1f2dc6862d0ce0d2
- 566bbee17a5af649e465b7dfba1f2de0
- 6342a69ed8ea8af5424eb4749e571e97
- 7be44884a763ee99b69a3388407cff98
- 7d7b89cb7fa6155b1e01334175ac1c5b
- 7e0327b8f7ca202d364b7cd6c66a86be
- 8113a620761a6da49ce678f56f48ce8e
- 935814f39b1b39fe0fe9186e560321dd
- a06c4773ca80b0b7d0fcc05e663cec3d
- a149927719c37087abd9782a281bd0c4
- a7c55ff964188d62485692b6c2061a8a
- abe3d57fde219f4fb7e59c9a0c8a260f
- add4dd9dfa71108b7bedadb6e97987e5
- b79e56969d36c4b969bbe1623142e74a
- baed94b62771a3b551c0462f22561f80
- c437b4a8b925c986d9cd660295e6e2e4
- d20a1dcef8d4e48bfaa90abd0d5516bd
- dabb3e0db9cb70b1dcdb011295b41ef4
- de51465cec3b469fa1f6cab087a47f71
- e9dc79e096ccd79ea1daf0203eeec102
- edb374796f6fe20e3b62962811968142
- f3574e48592f487fe7ad041c6f5bbab7
- fe7d106dca7cfd92e8e375103703cfff
SHA1
- 01450c1567a96dde91c50638c0fc42ca71f25777
- 09b5de02a26f602806a09f7f4fcd858c99acc588
- 09c5482a10b9c35e94356e4333cd2342aa94c3f0
- 226940eb6ae3e6069f7a93fe8d800437941d0c07
- 279ed2b31867519e834680df2a86e8aa894b61d2
- 3d236f99d1f558e6bfc960733e3f46f55199848b
- 4003ccd4098d2f56255e2bec992cfe978cfc4b6d
- 4586aff8e8f603adc3785dd5137844658120b16e
- 63605c2c5484ccfd359af5da9714508698e9efe3
- 671b7940be5f857e1f517bf784a672feba221de9
- 7140f0c13191c10b93cd8cb15b667c40cccfb842
- 80e8b62250ab32810e8da4fe602b29d303b3a247
- 825ee18ad6645e7634fc2524af5ef1d394dfab00
- 8bd2e47531a2676448b3e1dc793919edc898fb84
- 8f887607d01d99fce12eb47ce4cd7632b4a5931f
- 906afab8bdd31666889ff5941c72d79396f69f01
- 992a557755273e7966198a32bfcaa03c4258a183
- a7bcc5273b86e75dad66fed8fab1ec546ffa3bfd
- a8077647e030ec604d2576b36b6ddc3086ecf38b
- adacd10869352a8cf03e9836795b01f7a062377c
- b27ab2cafe49b438cdca41dbfe85306729ba0a32
- c735c2d22e2fe79a39111e76a9966d0720f023a1
- caaa211710b53c9cab8fcdb45772b05e39e3af13
- cf8f946d49f5e3db3b7535d3c3e1b25a0de238e0
- d3939d3eed0341cf0b8eb256142487690300aaec
- d44e59b64d443b82e5123af9f7a46c6866503c31
- d9e78d276186e5ca049724796494489e228ff431
- dac3c1cac7de687cc427c899202f497c4078be8a
- e0b2eaefe9e4e023e7314dff213fa535e3fb3274
- e777ad0ff4d4510ee345c06c34123b279b0b7ad6
- ea0578a49f184ba9d1271619f9639f586dae591a
- f530e1fd18a0f31eddf70c5491e3b03235416b30
- ffb8a0d984e443250676957bfc16d02223e38ce7
SHA256
- 0d7cee0c13374181a23e8f605b32f2969c9c490b83c7891318f26bd17777fd7c
- 12c1d0dc09a545bda4b219bb87fac6b5a222f7c02a414ee26e0ac92162892f92
- 162c6ad1d8e19372b4ea0dacffae8947e2b1477498cb12c3e5f3a0923f98e33f
- 2997b820a4834add998b16e373eb7c63a4b72eb508a09c57b0f04a2557438c94
- 2fc47aceb8eeb0ac4d47d5b2002275d961a0a39fe77069500de2ab8c0ba03a44
- 382dbe6d39c39fd38e1ee247592deaab1d55a4525f062cb9372de08cb842330e
- 4c74b2d6f11f51c776c3d15c8cabc530653a57ed3dfd27b3804c81cc975311de
- 511565889577b25381558039feaf37ec36d98806fbc5d643dc8a51ee5aab37e6
- 5645e16631e12be7eb36aeba6fe76cdff82b8be163a44a442188d90fb44cec34
- 59d1768012f0449539cb7fec717d8ff39906009c288bf4db6a0bee19c13d8754
- 5bb7b38fb90155537984893cb90375a39815669e728fd84d08accd8b67079198
- 5d932bfda0ffd31715700de2fd43fc89c0f1d89eeabac92081ebe2062da84152
- 64b72524187da048c17958c5915d746a6ea3d283b8d6c91d60353c12109968fe
- 64ebc4b51139cc65b4140f8600b7d3e5f40c7d6b3fb754c29b6d5801c6605e2f
- 6eb141225c4e4bfe3c347cac44b939ef697616b32e7d3646d6944210d99d0960
- 7023f20f5264c9d83b17d995a07f0cc255fa0861c5bf83101034a430c8ff85d6
- 7184b9380355584e2c2279cd3bf50ba651b26848f390e723dc33f80ef865f9d2
- 75cf8d1c43fad756cb9c6da084a71ee50bd3d4a46e870df14cdd2135d86681a5
- 7bb3936b975266dfac275080576000fc368ca7388dd1931f891cc80565c82daa
- 7c8be71b3cfef2de7343bd48d20e33a6f2f94409d59c50f5ac3a5bbd703789fc
- 863b88cf2b1c425d01aaad64bcdf4317d704c4041482ea21cceffc26a7fde4ea
- 8877e607552950a006062ee083437e733de5f502c0979b8de20962327d426395
- 8ea818f50a520660e3a62fcbba9e3df82635bf1b2d9530c24fa6624187ba628c
- 8ed0e51fac43d041360f5a7b8b59285f6c98a1f3954401d4c4b8f5a95eface0f
- 8fbb326abcc859280a33343cbd3ffc3dcc5366123da25d99868e950100a21fec
- 96bd07804ef395303c7ddb88066b607e13d35e339c87d8d1cb6f838e560caddc
- c1969a287c8425d306dab962572667b26ad2135376d3dc24fdf6dba52d6ee62b
- c20a2d5c4bd09c1858ac88c8900609c9306e59e412d1d3b37be5c5971d9561f4
- da82cbbc5da3b329a120540ea4543e31e354e125f7051c0dc35874b5b9a00c9c
- ece1e5b6e77d8da8ecdaed554eb09670f0c1bbf80dadd783b6d904542f72ba0e
- f136acbb905459aa3292dd65c86361cb863c94d710ade951ac2208a88c36ec6a
- f3661f62ec4a6d8a2077a4f882627c2e039a5270d5e73684881711c712710d23
- fa11c54afcffef94b6e0ee284b37d2c4376f0f7d3295f6fb6fa2d67fb607da2f