Эксперты по кибербезопасности выявили и проанализировали масштабную операцию по распределению трафика и загрузке вредоносных программ. Расследование началось после обнаружения вредоносного JavaScript-загрузчика на подозрительном домене. Статический и динамический анализ в изолированной среде, подкрепленный открытыми источниками разведданных, показал, что инфраструктура представляет собой коммерческую ферму трафиковых распределительных систем, предназначенную для перенаправления жертв на фишинговые страницы, мошеннические воронки или для доставки вредоносного кода.
Описание
Ключевым элементом инфраструктуры является домен "toxicsnake-wifes[.]com", выполняющий роль узла-загрузчика. Первоначальный анализ скрипта "script.js" выявил обфусцированный код, который динамически загружает следующий этап атаки. При выполнении в контролируемой среде загрузчик пытался получить доступ к удаленному скрипту, но сервер вернул ошибку 504 Gateway Timeout. Это указывает на то, что загрузчик функционировал, но конечная полезная нагрузка на момент анализа была недоступна.
Расследование выявило целый кластер связанных доменов, использующих идентичные методы работы. Все они зарегистрированы через одного и того же регистратора, используют одинаковые серверы имен и фиктивные контактные данные. Например, регистрационный email "oreshnik[@]mailum.com" и хостинг-провайдер HZ Hosting Ltd фигурируют во всех записях. Подобная схема характерна для так называемых "пуленепробиваемых" хостинг-провайдеров, терпимых к злоупотреблениям. Среди связанных доменов эксперты отмечают "pasangiklan[.]top", "asangiklan[.]top", "ourasolid[.]com" и другие.
Технический анализ показал стандартную для подобных операций схему работы. Первоначальный скрипт содержит механизмы обфускации и процедуру декодирования, которая формирует URL для удаленной загрузки. Он генерирует уникальный токен для каждой сессии и сохраняет флаг в локальном хранилище браузера, чтобы предотвратить повторное выполнение. Основная цель этого этапа - сбор отпечатка браузера пользователя и передача токена на сервер принятия решений. Второй этап, представленный скриптом "db.php", должен был, исходя из геолокации и других параметров, перенаправить жертву на конечную полезную нагрузку, но во время анализа был неактивен.
Инфраструктура атаки размещена в сети автономной системы AS202015, принадлежащей HZ Hosting Ltd. Используемые IP-адреса, такие как 185.33.84[.]152, входят в подсеть 185.33.84.0/23. Для доменов применяются короткоживущие SSL-сертификаты от Let's Encrypt сроком на 90 дней, что типично для автоматизированной инфраструктуры злоумышленников. Данные из VirusTotal и гибридных песочниц подтверждают, что связанные домены ранее использовались для доставки реальных вредоносных программ.
По мнению аналитиков, основная цель операторов - финансовое мошенничество через фишинг, кражу учетных данных или распространение вредоносного ПО, такого как инфостилеры или RAT. Риск для обычных пользователей оценивается как высокий. Посещение подобных ресурсов или загрузка исполняемых файлов может привести к компрометации учетных записей и установке постоянного вредоносного ПО.
Эксперты рекомендуют владельцам веб-сайтов немедленно проверять свои ресурсы на наличие инъекций подозрительного JavaScript, особенно в директориях с названиями вроде "/promise/". Для исследователей и пользователей строго рекомендуется не взаимодействовать с подобными доменами без использования изолированных виртуальных машин. Для блокировки угрозы можно использовать сетевые сигнатуры, отслеживающие запросы к известным доменам кластера или исходящие соединения на IP-адреса из подсети 185.33.84[.]0/23. Информация об инфраструктуре уже передана в соответствующие CERT-команды и хостинг-провайдерам для возможного прекращения работы вредоносных сервисов.
Индикаторы компрометации
IPv4
- 185.33.84.152
- 185.33.84.189
CIDR
- 185.33.84.0/23
Domains
- asangiklan.top
- ourasolid.com
- pasangiklan.top
- refanprediction.shop
- toxicsnake-wifes.com
- xelesex.top
URLs
- https://toxicsnake-wifes.com/promise/db.php
- https://toxicsnake-wifes.com/promise/script.js
