Главная страница » Индикаторы компрометации
0
17 часов
Индикаторы компрометации

Обнаружен второй арендатор MaaS-платформы CLICKSMOKE: операторы перешли на MSI-установщики с цепочкой Scoop и Deno

information security

Спустя три недели после первой публикации о вредоносной платформе CLICKSMOKE, работающей по модели MaaS (malware-as-a-service - вредоносное ПО как услуга), исследователи информационной безопасности зафиксировали активность второго независимого арендатора этой инфраструктуры. Новый злоумышленник, использующий псевдоним aero, применил принципиально иной способ доставки полезной нагрузки - установщик MSI, который через цепочку легитимных инструментов (Scoop, Deno) загружает похититель учётных данных из браузеров. Это подтверждает гипотезу о мультитенантной архитектуре платформы, выдвинутую в начале апреля, и указывает на её активное развитие на русскоязычных форумах.

Описание

Первоначальный отчёт от 3 апреля 2026 года описывал единственного оператора Smokest, использовавшего скрипт PowerShell (PS1) и технику ClickFix (социальная инженерия, при которой жертву заставляют скопировать и выполнить вредоносную команду через буфер обмена). Однако в ходе повторного анализа материалов исследования были обнаружены данные второго арендатора - токен JWT (JSON Web Token - формат токена для аутентификации), извлечённый из другого образца вредоносного ПО. Этот токен содержит поле buildNote со значением "тестовый билд" на русском языке, что является первым прямым указанием на русскоязычное происхождение разработчиков платформы.

Исследователи обнаружили, что второй арендатор aero (идентификатор пользователя b7df91b1401aa529) использует сборку с идентификатором 8f7f1d313b5ebf34, тип сборки - msi. JWT-токен этой сборки имеет точно такую же структуру, как и у первого оператора Smokest: те же поля buildId, buildNote, buildType, proxyUrls, userId, userNote, accessTokenHash, iat и exp. Единственное различие - в значениях, что однозначно свидетельствует о том, что обе сборки были сгенерированы одной и той же бэкенд-панелью, а сама платформа рассматривает арендаторов как полноценных пользователей с собственными идентификаторами и токенами. Срок действия обоих токенов составляет десять лет - либо это разработческая халатность, либо намеренное решение, чтобы сборки не переставали работать на машинах жертв.

Сам MSI-установщик (хэш SHA256 bbcc6c5249d8e8f9d52e031fabb38a42469b57526f997fb06483581e360fe3a0) имеет размер всего 12 килобайт и содержит встроенный скрипт PowerShell. Его логика такова: сначала он устанавливает менеджер пакетов Scoop (если тот ещё не установлен), затем через Scoop устанавливает среду выполнения Deno, после чего Deno загружает и выполняет с полными правами (флаг -A) второй скрипт-загрузчик с сервера управления dakatawebstick[.]com. Именно этот второй скрипт, размером около 276 килобайт, содержит сам инфостилер - вредоносную программу, нацеленную на кражу сохранённых паролей и cookies из более чем 20 браузеров, а также собирающую информацию о 20 с лишним антивирусных продуктах на системе.

Ключевая особенность нового варианта доставки - использование легитимных компонентов. Scoop и Deno - это распространённые инструменты разработчика, которые не вызывают подозрения у систем защиты. Вредоносный код выполняется внутри Deno, который является подписанным легитимным двоичным файлом. Это позволяет обойти как эвристический анализ антивирусов (они не знают грамматику Deno), так и эвристики EDR (систем обнаружения на конечных точках), поскольку вредоносная нагрузка динамически загружается и исполняется в уже авторизованном процессе.

Метаданные MSI-файла предоставили дополнительные следы для атрибуции. В поле Author указано значение xray93, в поле Subject - whiskey_tool63. Эти строки, вероятно, являются псевдонимами разработчиков или именами учётных записей на сборочной машине. Кроме того, приложение-сборщик указано как msitools 0.106.31-bf14 - это утилита из набора GNOME для Linux, что является нетипичным выбором для создания установщиков Windows. Легальные разработчики Windows-приложений обычно используют WiX на Windows, поэтому обнаружение MSI, собранных под Linux, может служить мощным поисковым признаком для специалистов по threat hunting (активному поиску угроз).

Реакция операторов платформы на публичный отчёт оказалась предсказуемой: обе известные сборки - как оригинальная PS1 от Smokest, так и MSI от aero - были отозваны. Панель управления по адресу dakatawebstick.com продолжает работать, но на запросы к этим сборкам возвращает ответ "Build not found". Сама инфраструктура (IP-адрес 94.26.90.100, AS207043 Dedik Services Limited, домен через китайского регистратора CNOBIN) не демонтирована. Это типичное поведение для операторов MaaS: инфраструктура дорога и сложна в смене, а сборки можно заменить быстро и дёшево. Следовательно, на платформе могут существовать другие, пока неизвестные сборки, которые остаются активными.

Подтверждение мультитенантности и обнаружение русскоязычного маркера ("тестовый билд") позволяют предположить, что платформа CLICKSMOKE предлагается или распространяется на русскоязычных криминальных форумах или в Telegram. Учитывая семидневный интервал между созданием токенов двух арендаторов, можно ожидать, что к настоящему моменту на платформе уже зарегистрировано до полудюжины клиентов. Каждый из них может использовать свой вариант доставки и нацеливаться на разные категории жертв.

Для специалистов по защите конечных точек критически важно добавить в список мониторинга следующие сигнатуры: запуск deno.exe на рабочих станциях, где Deno не используется легитимно; инициацию установки Scoop из-под процесса msiexec.exe; а также обнаружение MSI-файлов, собранных с помощью msitools на Linux. Для команд киберразведки (CTI) новые псевдонимы aero, xray93 и whiskey_tool63 должны быть внесены в базы атрибуции наряду с ранее известным Smokest. Шаблон JWT с набором полей buildId, buildNote, buildType, proxyUrls, userId, userNote, accessTokenHash, iat, exp является уникальным маркером артефактов платформы CLICKSMOKE, который можно использовать для поиска в перехваченном трафике C2 (командного центра).

Платформа продолжает представлять серьёзную угрозу для организаций любого масштаба: сочетание простой социальной инженерии (подставной установщик, маскирующийся под обновление или легитимную программу) с продвинутой техникой обхода защиты делает её эффективным инструментом в руках злоумышленников. Специалистам по безопасности необходимо учитывать, что операторы активно реагируют на публичные отчёты, меняя сборки, но не трогая инфраструктуру, - это означает, что новые варианты могут появиться в любой момент.

Индикаторы компрометации

IPv4

  • 94.26.90.100

Domains

  • dakatawebstick.com
  • ordertld.com

URLs

  • http://dakatawebstick.com/8f7f1d313b5ebf34.js

MD5

  • a29676835d8529206b32a325ed8a4b37

SHA1

  • 705a5228eebbed1e999387e8dee9736f9e00ffb7

SHA256

  • 16ff1923903fcddf292661e8ee5d67ce794153f6c8562cf0022894372c39f12b
  • bbcc6c5249d8e8f9d52e031fabb38a42469b57526f997fb06483581e360fe3a0

Комментарии: 0
Похожие записи
0
29.12.2025
Индикаторы компрометации

Новый вредонос EtherRAT атакует через уязвимость в React2Shell, используя блокчейн Ethereum для управления

information security
Центр анализа угроз AhnLab (ASEC) выявил активную кампанию по распространению сложного вредоносного программного обеспечения, получившего название EtherRAT. Атака эксплуатирует недавно раскрытую критическую
1
28.03.2025
Индикаторы компрометации

Исследователи ESET раскрыли набор инструментов, используемых APT-группой FamousSparrow

security
В июле 2024 года исследователи ESET Research обнаружили, что кибершпионская группа FamousSparrow скомпрометировала систему одной из торговых групп в США, работающей в финансовом секторе.
0
20.10.2025
Уязвимости

Критическая уязвимость в Samba позволяет удаленным злоумышленникам выполнять произвольный код

vulnerability
В системе Samba обнаружена новая критическая уязвимость, позволяющая неавторизованным злоумышленникам выполнять произвольные команды на контроллерах домена. Уязвимость, получившая идентификатор CVE-2025-10230, оценивается по шкале CVSSv3.