Исследователи информационной безопасности выявили активную кампанию по распространению многоступенчатого загрузчика OnionDrop, который за три месяца скомпрометировал сотни систем по всему миру. Речь идёт не об атаке, нацеленной на конкретную организацию или государство, а о массовом развёртывании вредоносного инструмента, способного доставлять различные виды программ-похитителей данных. Для бизнеса и обычных пользователей это означает, что под ударом может оказаться любой компьютер, независимо от его ценности для злоумышленников.
Описание
Команда угрозного анализа Howler Cell отслеживает активность OnionDrop с конца февраля 2026 года. За этот период было обнаружено более 645 уникальных образцов вредоносной DLL-библиотеки. Самая ранняя находка датируется 28 февраля, самая поздняя - 20 мая. При этом доставка новых образцов не прекращается до сих пор. Такой темп указывает на отлаженный и постоянно действующий механизм заражения, а не на разовые атаки.
Особенность OnionDrop - в сложной архитектуре обхода средств защиты. Загрузчик использует четыре последовательные стадии распаковки: собственную декодировку пар байтов, декомпрессию по алгоритму Xpress Huffman, расшифровку AES-256-CBC со сменными ключами и, наконец, выполнение шелл-кода через злоупотребление механизмом обратных вызовов пула потоков Windows (TpPostWork). Такая глубина технического исполнения редко встречается даже в инструментарии, который приписывают государственным хакерам. Однако OnionDrop не делает различий между целями - он поражает всех, кто попадётся на удочку.
Начальный вектор заражения - ZIP-архив, содержащий легитимный исполняемый файл, подписанный цифровым сертификатом Adobe. Этот файл подгружает вредоносную DLL через технику sideloading (загрузка библиотеки из той же папки, где находится исполняемый файл). В архиве также присутствует файл data.bin размером около 100 мегабайт, заполненный случайными байтами - это отвлекающий манёвр для увеличения размера архива и усложнения анализа.
После запуска вредоносная DLL последовательно проходит все стадии распаковки, используя разнообразные методы анти-анализа. Например, строки конструируются на стеке по одному символу, чтобы их невозможно было обнаружить статическим анализом. Разрешение API-функций происходит через LdrGetProcedureAddress, минуя стандартные функции, которые часто перехватываются антивирусами. Кроме того, загрузчик выполняет множество фиктивных вызовов API (техника API hammering), чтобы затруднить анализ в песочницах и сбить с толку автоматические системы обнаружения.
Для обхода виртуальных сред OnionDrop проверяет имя дисплея через EnumDisplayDevicesA. Если система использует нестандартный или эмулированный видеоадаптер, выполнение вредоносного кода прекращается. Таким образом загрузчик не срабатывает в аналитических песочницах, которые часто не имеют настоящего графического оборудования.
Самый распространённый финальный полезный груз, который доставляет OnionDrop, - это LegionLoader (также известный как CurlyGate). Он связывается с командным сервером по адресу gainmsg[.]com. Однако это не единственный вариант. Howler Cell обнаружил, что цепочка загрузки также использовалась для доставки похитителя данных CGrabber Infostealer (который впервые был описан этой же командой) и известного стилера Vidar. В случае Vidar количество ступеней загрузки достигает пяти: после OnionDrop в дело вступает ещё один промежуточный загрузчик Direct-sys Loader, который инжектирует полезную нагрузку через APC-вызовы.
Такая универсальность подтверждает, что OnionDrop функционирует как общий сервис доставки вредоносных программ, который могут использовать разные операторы похитителей данных. Злоумышленники не обязаны сами писать сложный код обхода - они просто приобретают или арендуют OnionDrop и подключают к нему свой полезный груз.
Техническая экспертиза показывает: команда разработчиков OnionDrop вложила значительные ресурсы в то, чтобы их детище оставалось незамеченным. Ротация ключей AES между стадиями распаковки, использование потокового пула вместо создания новых потоков (что не даёт стандартных телеметрических событий), а также обфускация каждого шага - всё это указывает на профессиональную разработку. При этом атаки не нацелены на конкретные сектора или страны. Жертвой может стать любой пользователь, который откроет вредоносный архив, полученный по электронной почте или через мессенджеры.
Последствия атаки для организации могут быть серьёзными: похитители данных выгружают учётные записи, файлы cookie, историю браузера, данные криптокошельков и другую конфиденциальную информацию. Утечка этих данных может привести к финансовым потерям, компрометации корпоративных аккаунтов и дальнейшему распространению вредоносного ПО внутри сети.
Для защиты от OnionDrop компаниям и обычным пользователям следует проявлять бдительность при открытии ZIP-архивов, особенно если они приходят от незнакомых отправителей. Наличие легитимной подписи Adobe - не гарантия безопасности, так как злоумышленники используют именно доверенные файлы для обхода контроля приложений. Рекомендуется использовать современные антивирусные решения с поведенческим анализом, которые способны обнаруживать многоступенчатую распаковку и скрытое выполнение кода. Также важно своевременно обновлять операционную систему и запрещать запуск исполняемых файлов из папок с пользовательскими данными без проверки.
Тенденция очевидна: сложные загрузчики, ранее считавшиеся прерогативой избранных киберпреступных групп, становятся товаром массового потребления. OnionDrop - лишь последний пример того, как профессиональные технологии обхода переходят в руки широкого круга злоумышленников, делая атаки более доступными и частыми.
Индикаторы компрометации
URLs
- https://gainmsg.com/nfront.php
SHA256
- 070a97bf5bcba13c41266a79357e2a5b8d6f4e353db7427bd8ccabceee5c96e3
- 0a8914b4f794ebc8ea1ce08dd4b5da918cd9697443007622100b0ba0731d428c
- 18bb95789e8727be0d98d9a5fce027f0f514e74192c7736b3afa297d2ee4a8fb
- 8559e535128805f1e31fa7a15b33d25ae498915c7b88ea5142cf38858d551a53
- 892f1bd9663c7e14855a0238e0fbb5b2396000b3396ceda79947374a3da78912
- c9b96846c9a49ddbed9e143b098972e1d7880654f763bb504d2f7b5d2ab1dafb
- f09be48aab38dc85b7ad46efb98897617af66014ded44a7cf1bddaab59d9dad2
- f6e5f7445b9ea717513a04d04acfa343025ca35302d025de33935e176a83f6ae
- fb31df58549031f0ea24b250b214cbab9eafa39adaa715c675f328f7370904c7