Новый вредоносный комплекс использует Pulsar RAT, живой чат и Donut для скрытого контроля и кражи данных

Инфекционная цепочка начинается с запуска скрытого пакетного файла (BAT), который прописывается в автозагрузку через ключ реестра "HKCU\Software\Microsoft\Windows\CurrentVersion\Run". Его задача - минимизировать следы на диске, извлекая и выполняя встроенный загрузчик PowerShell. Этот скрипт, в свою очередь, расшифровывает и внедряет в память шелл-код, сгенерированный утилитой Donut. Процесс внедрения целенаправленно задерживается на 80 секунд, чтобы обойти поведенческие системы мониторинга.

Для обеспечения устойчивости используется механизм "сторожевого пса" (watchdog). Он постоянно отслеживает состояние инжектированного кода в таких стандартных процессах, как "explorer.exe" или "svchost.exe". Если процесс-носитель завершается, вредонос автоматически перезапускает полезную нагрузку в новом, что обеспечивает постоянное присутствие (persistence) в системе.

Расшифрованный шелл-код Donut раскрывает основную .NET-нагрузку, которая представляет собой мощный комплекс для кражи данных и удаленного управления. Модуль обладает широким набором возможностей для слежки: перехват аудио через микрофон, захват видео с веб-камеры, мониторинг буфера обмена с подменой криптовалютных адресов и сбор учетных данных из огромного списка приложений.

Среди целей - клиенты удаленного доступа (AnyDesk, TeamViewer), FTP-менеджеры (FileZilla, WinSCP), VPN-сервисы (NordVPN, ExpressVPN), мессенджеры (Discord, Telegram), почтовые программы и игровые платформы. Собранные данные упаковываются в ZIP-архив прямо в памяти и отправляются злоумышленникам через Discord Webhooks или API Telegram-бота.

Особенностью данной атаки является модуль Pulsar RAT, который предоставляет злоумышленникам интерактивный контроль. Как показано на скриншотах, оператор может не только выполнять стандартные команды, но и инициировать живой чат с жертвой, отвлекая внимание, пока на заднем плане загружаются и распаковываются дополнительные вредоносные компоненты.

Вредоносное ПО активно использует методы противодействия анализу. Оно проверяет окружение на наличие признаков виртуальных машин (Anti-VM), отладчиков (Anti-Debugging) и средств мониторинга процессов. Код .NET-сборок сильно обфусцирован, а их имена заменены на бессмысленные последовательности символов, что серьезно затрудняет статический анализ.

Для закрепления в системе используется двухуровневый механизм. В первую очередь создается задание в Планировщике задач Windows (Scheduled Task) с высшими привилегиями. В качестве резервного варианта прописывается автозапуск в реестре. Вредонос также может удаленно отключать Диспетчер задач и Контроль учетных записей (UAC) по команде с сервера управления (C2), лишая пользователя возможности вмешаться.

Данная кампания наглядно демонстрирует современные тенденции в киберугрозах: коммодитизацию сложных атак, когда злоумышленники комбинируют публичные инструменты вроде Donut с украденными или доработанными фреймворками. Акцент на выполнении в памяти, устойчивом закреплении и активном противодействии анализу делает подобные угрозы особенно опасными для традиционных антивирусных решений, работающих по сигнатурам. Эксперты рекомендуют организациям внедрять многоуровневую защиту, включающую поведенческий анализ и контроль целостности процессов, для обнаружения подобных скрытых атак.

IPv4 Port Combinations

• 185.132.53.17:7800

MD5

• 0020b06dc2018cc2b5bf98945a39cbd3
• 3abcad7678dd78832a164349aceeaa59
• 648c0ba2bb1cde47fa8812f254821a72
• 666493877fb7328c3e8c313fbcfdfd1e
• 69392e0d2b877cb932ab709ebe758975