Главная страница » Индикаторы компрометации
0
1 день
Индикаторы компрометации

Новый век вредоносных программ: PURELOGS скрывается в PNG-файле через Archive[.]org

information security

Швейцарская компания Swiss Post Cybersecurity обнаружила и проанализировала ранее неизвестную кампанию по распространению PURELOGS, вредоносной программы для кражи данных (информационный стилер). Уникальность атаки заключается в использовании многослойной цепочки доставки, где финальный вредоносный код был скрыт внутри изображения в формате PNG, загруженного с легитимного сайта Archive[.]org. Аналитик Louis Schürmann детально описал весь путь атаки - от фишингового письма до хищения конфиденциальной информации.

Описание

Кампания начиналась с фишингового письма, маскировавшегося под фармацевтический счет. Вложение в архиве ZIP содержало файл с расширением .js. Однако это был не браузерный JavaScript, а JScript для Windows Script Host (WSH), который выполняется с привилегиями операционной системы. После удаления нечитаемых символов, мешающих статическому анализу, скрипт запускал PowerShell для выполнения закодированной полезной нагрузки (payload) прямо в памяти, минуя запись на диск.

Именно поведение PowerShell-скрипта привлекло внимание исследователей. Вместо обращения к подозрительному домену, он загружал PNG-файл с ресурса Archive.org, чья безупречная репутация не вызывает подозрений у систем мониторинга. Изображение оставалось валидным, но после стандартного маркера конца файла (IEND) злоумышленники добавили Base64-закодированную полезную нагрузку между кастомными метками "BaseStart-" и "-BaseEnd". Скрипт извлекал эту скрытую часть прямо из оперативной памяти, никогда не сохраняя полный файл на диск, что обходило файловые системы защиты.

Расшифрованный код загружал в память .NET-сборку, известную как VMDetectLoader. Этот модульный загрузчик выполнял проверку на виртуальную среду для уклонения от автоматического анализа в песочнице (sandbox) и использовал технику внедрения в процесс (process hollowing). Он запускал легитимную утилиту Microsoft CasPol.exe в приостановленном состоянии, заменял её код в памяти на вредоносный и возобновлял выполнение. Таким образом, финальная стадия работала под видом доверенного системного процесса.

Инжектированный код оказывался не самим стилером, а распаковщиком, обфусцированным с помощью .NET-Reactor. Его работа была построена на событийной модели: завершение одного этапа автоматически запускало следующий. Сначала данные расшифровывались с использованием устаревшего алгоритма Triple DES (3DES), что могло быть попыткой избежать детектирования по сигнатурам современных шифров. Затем следовала декомпрессия GZip, и наконец, с помощью механизма Reflection в память загружался и исполнялся финальный модуль PURELOGS.

PURELOGS - это типичный представитель модели Malware-as-a-Service (MaaS), доступный для аренды на теневых форумах примерно за $150 в месяц. Его конфигурация, включая адрес командного сервера (C2) и набор активных модулей, хранилась в зашифрованном виде внутри ресурсов программы. Стилер демонстрировал широкий охват целей. Ключевой модуль атаковал браузеры на движке Chromium, извлекая мастер-ключ через Windows DPAPI для кражи паролей, cookies и данных банковских карт. Другой модуль систематически искал файлы более 30 десктопных криптокошельков (Bitcoin Core, Electrum) и данные более 70 браузерных расширений для Web3, таких как MetaMask и Phantom.

Полный список целей также включал Firefox, почтовые клиенты (Outlook, Thunderbird), мессенджеры (Telegram, Signal), FTP-клиенты и другое ПО. Эксперты отмечают, что подобные кампании не отличаются высочайшей сложностью, но эффективно используют многослойное уклонение от стандартных средств защиты. Их экономика построена на массовости: атаки нацелены на домашних пользователей и малый бизнес, где редко встречаются продвинутые системы EDR. Однако скомпрометированные в таких атаках личные учетные данные сотрудников затем часто используются для атак на корпоративные ресурсы, превращая инцидент на личном устройстве в угрозу для всей организации. Противодействие требует не столько сложных инструментов, сколько наличия детальной телеметрии и мониторинга аномального поведения процессов в системе.

Индикаторы компрометации

IPv4

  • 185.27.134.206

IPv4 Port Combinations

  • 45.137.70.55:5888

URLs

  • http://lineclearexpress.wuaze.com/arquivo_20250908023227.txt
  • https://archive.org/download/optimized_msi_20250904/optimized_MSI.png
  • https://ia902909.us.archive.org/16/items/optimized_msi_20250904/optimized_MSI.png

SHA256

  • 08a5d0d8ec398acc707bb26cb3d8ee2187f8c33a3cbdee641262cfc3aed1e91d
  • 3050a5206d0847d5cfa16e79944ce348db688294e311db4d7b6045ffbe337450
  • bb723217f9c2932116c9e1313d558a7baddb921886eaa3beca95f7b3c5b848b0
  • c208d8d0493c60f14172acb4549dcb394d2b92d30bcae4880e66df3c3a7100e4
  • c3857a086bdac485a5e65fc88828cb0c4c831be7a1f63e2dab32a47f97b36289
Комментарии: 0
Похожие записи
0
28.09.2025
Индикаторы компрометации

Фальшивая капча ClickFix скрывает сложную атаку с похищением данных

information security
Аналитик кибербезопасности Louis Schürmann из Swiss Post Cybersecurity расследовал инцидент, который начался с безобидного на первый взгляд электронного письма и перерос в многостадийную атаку.
0
16.12.2024
Индикаторы компрометации

Kimsuky APT IOCs - Part 28

security
Исследователи обнаружили новую инфраструктуру, связанную с северокорейской угрожающей группой Kimsuky, с характерным «Million OK !!!!». HTTP-ответом и вредоносными доменами, выдающими себя за южнокорейскую платформу Naver.
0
27.08.2025
Статьи

Учебник по ProxyChains в Kali Linux

kali linux
В мире существует множество "хакеров", некоторые из них добрые, а некоторые - злые. Злые хакеры занимаются взломом либо ради денег, либо ради кражи, либо просто для развлечения.