Специалисты FortiGuard Labs раскрыли детали многоступенчатой фишинговой кампании, нацеленной на сбор конфиденциальной информации с устройств жертв. Злоумышленники используют письма, замаскированные под коммерческие заказы, чтобы доставить вариант известного стилера PureLogs. Атака отличается глубокой обфускацией, применением техники подмены кода в доверенном процессе (process hollowing) и полной бесфайловой загрузкой модулей, что делает её крайне незаметной для традиционных средств защиты.
Описание
Кампания начинается с рассылки электронных писем, якобы содержащих счёт на оплату или заказ. Тема письма содержит пометку "virus detected" ("обнаружен вирус"), что является частью тактики социальной инженерии. К письму прикреплён RAR-архив с именем PO 2026-P0803.rar. Внутри архива находится вредоносный JavaScript-файл kpankocrs.js. При открытии этого файла начинается цепочка заражения. Как отмечается в аналитическом отчёте FortiGuard Labs, уже на этом этапе письма блокируются почтовым шлюзом FortiMail, поэтому до целевых пользователей они вряд ли доходят, однако сама техника остаётся актуальной для других инфраструктур.
После запуска JavaScript-файл расшифровывает блок кода на PowerShell и сохраняет его во временную папку C:\Temp под случайным именем, например ps_qnSEGUkU0LIY_1777592585573.ps1. Затем скрипт запускает этот файл через оболочку Windows Script Host (wscript.exe) с параметрами, отключающими политику выполнения. Команда выглядит так: "powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -File "C:\Temp\..."." В результате запускается скрытый сеанс PowerShell, который исполняет зашифрованную полезную нагрузку.
Сам PowerShell-файл содержит большой блок данных, закодированных в Base64 и дополнительно зашифрованных с помощью XOR с циклическим сдвигом. После декодирования и расшифровки получается бесфайловый скрипт, который выполняется командой Invoke-Expression. Этот скрипт извлекает и запускает в памяти два .NET-модуля. Один из них, названный MAFF.ProcessHollowing, отвечает за технику подмены кода в доверенном процессе (process hollowing). Суть метода в том, что злоумышленник создаёт легитимный процесс (в данном случае MsBuild.exe, который входит в состав .NET Framework), приостанавливает его, выгружает оригинальный образ памяти и замещает его кодом вредоносной DLL. После этого поток возобновляется, и атакующий код выполняется от имени доверенного приложения, что позволяет обойти многие сигнатурные детекторы.
Второй .NET-модуль, названный Iwnflr.exe, внедряется внутрь процесса MsBuild.exe. Из своего ресурса он загружает данные, расшифровывает их алгоритмом DES, затем разархивирует (GZip) и получает ещё одну DLL - Rmiyj.dll. Этот файл служит загрузчиком (downloader). Загрузчик подключается к серверу управления и командования (C2) по IP-адресу 77.83.39[.]211:8443. Сначала он отправляет GET-запрос к ресурсу /ping для проверки доступности сервера. Затем через POST-запрос с телом, содержащим случайный вектор инициализации (IV) и зашифрованный идентификатор плагина (\x42\x00), загрузчик получает от C2 дополнительный модуль. Этот модуль расшифровывается тем же ключом AES, разархивируется и сразу выполняется в памяти - без записи на диск.
Полученный плагин (файл zgSGkYYzqVe.dll) и является вариантом стилера PureLogs. Он защищён коммерческими обфускаторами, такими как .NET Reactor или IntelliLock, что затрудняет его анализ. Чисто технически это бесфайловый модуль, который существует только в оперативной памяти заражённого процесса. После загрузки он получает конфигурационный блок от загрузчика и начинает сбор данных.
Возможности PureLogs впечатляют разнообразием. Модуль собирает базовую системную информацию: версию ОС, имя пользователя, объём памяти, разрешение экрана, список установленных антивирусов, сведения о процессоре, содержимое буфера обмена, а также делает снимок экрана (скриншот) в формате JPEG. Все эти данные упаковываются (GZip) и шифруются ключом AES из конфигурации, после чего отправляются на сервер через POST-запрос к ресурсу /userinfo.
Но главная цель - кража учётных данных. PureLogs атакует обширный список браузеров, включая Google Chrome, Microsoft Edge, Firefox, Opera, Яндекс.Браузер и десятки других, вплоть до малоизвестных вроде Coin. Из них извлекаются сохранённые пароли, история просмотров, автозаполнение (имена, адреса, номера телефонов, платёжные данные), cookies и сессионные токены. Особое внимание уделяется клиенту Discord: сканируются папки локального хранилища всех версий приложения (Discord, DiscordCanary, DiscordPTB и другие). Злоумышленник получает токены аутентификации, идентификаторы пользователей и другую метаинформацию, что позволяет полностью захватить аккаунт жертвы без ввода пароля.
Криптовалютные кошельки также в зоне риска. PureLogs проверяет наличие файлов и реестровых ключей для Bitcoin Core, Ethereum, Exodus, Electrum, Monero, Dash, Atomic Wallet, Guarda и ещё трёх десятков других программ. Из них извлекаются закрытые ключи, файлы кошельков, кэшированные учётные данные и токены доступа. Кроме того, модуль собирает сохранённые учётные данные из почтовых клиентов (Microsoft Outlook, Foxmail, MailBird), FTP-клиента FileZilla, мессенджера Pidgin, а также из OpenVPN и ProtonVPN.
Все собранные данные шифруются и отправляются на C2-сервер через соответствующие POST-запросы с разными URI (/browser, /discord, /crypto, /application). Каждый пакет содержит случайный вектор инициализации в первых 16 байтах, за которым следует зашифрованное содержимое.
Данная кампания демонстрирует высокий уровень подготовки злоумышленников. Многослойное шифрование, бесфайловое исполнение, внедрение в доверенные системные процессы и модульная архитектура делают её труднообнаружимой для традиционных антивирусов. Организациям настоятельно рекомендуется усилить фильтрацию входящей почты, отключить выполнение скриптов там, где это возможно, и настроить мониторинг аномальной активности PowerShell, а также вызовов API, характерных для техники process hollowing. Пользователям - проявлять осторожность при открытии вложений от незнакомых отправителей, даже если тема письма выглядит официальной.
Индикаторы компрометации
URLs
- https://77.83.39.211:8443
- https://77.83.39.211:8443/application
- https://77.83.39.211:8443/browser
- https://77.83.39.211:8443/crypto
- https://77.83.39.211:8443/discord
- https://77.83.39.211:8443/filesearch/req
- https://77.83.39.211:8443/finish
- https://77.83.39.211:8443/ping
- https://77.83.39.211:8443/plugin
- https://77.83.39.211:8443/userinfo
SHA256
- 07cd03e2082bcb0b890cc59ce4c770d1a095ac6f1ae9cf999f5542555c56f841
- 3d510977d60a44322f88100b515f06cb5ed83babc64247068d1a489595faa6c5
- 670384fafb23140d96f2f8fe04a13fc8cc8e2a6e5e8c973e39b58d103c5fea92
- b90988400cced319d260c4937f334ecc364785ed5c593cd2139965e62ca58173
- e20b35a8c30e076cdd0e1df05ba1ff2e418dbd39a674f084787cc0af2fda9e95
