Специалисты компании Huorong Security обнаружили новую вредоносную кампанию, при которой пользователи, скачивающие пиратский контент, рискуют стать жертвами сложной атаки. Инцидент произошёл, когда пользователь попытался скачать через неофициальный канал так называемый «фильм в Blu-ray качестве» и столкнулся с предупреждением системы безопасности. Последующий анализ показал, что этот ресурс был скомпрометирован и использовался для распространения опасного бэкдора DCRat.
Описание
Атака демонстрирует изощрённый подход злоумышленников, которые эксплуатируют желание пользователей получить бесплатный контент. Вместо ожидаемого видеофайла жертвам подсовывают ловушку, ведущую к полной компрометации системы.
Многоэтапный процесс заражения
Атака начинается с того, что пользователь запускает поддельные ярлыки, маскирующиеся под иконки диска или папки. Эти ярлыки содержат команды CMD, которые, в свою очередь, запускают скрытый PowerShell-код, внедрённый в файл субтитров с расширением ".srt". Код извлекается из строго определённых строк файла, что является нестандартным методом сокрытия вредоносной нагрузки.
На первом этапе скрипт расшифровывает и исполняет дополнительные PowerShell-сценарии. Их задачи включают создание папок, настройку механизмов устойчивости и извлечение файлов из скрытых объектов, таких как "Cover.jpg" и "Photo.jpg", которые на самом деле являются контейнерами с данными.
Ключевой особенностью данной атаки является этап, на котором вредоносная программа загружает из интернета компилятор языка программирования Go. Он используется для динамической сборки исполняемого файла непосредственно на компьютере жертвы. Внедрённый Go-скрипт содержит случайно сгенерированный ключ шифрования и соответствующие зашифрованные данные, что значительно затрудняет статический анализ и обнаружение сигнатурами антивирусов. Скомпилированный файл с именем вида "audio_diag_{GUID}.exe" регистрируется в Планировщике заданий Windows для обеспечения постоянного присутствия в системе.
Финальный этап направлен на обход защитных механизмов. Скрипт пытается отключить AMSI (Antimalware Scan Interface) в PowerShell - интерфейс, который позволяет антивирусным решениям, включая встроенный Windows Defender, сканировать скрипты на лету. После этого основной вредоносный модуль, бэкдор DCRat, внедряется в легитимный системный процесс "aspnet_compiler.exe" с помощью техники, известной как Process Hollowing. Этот метод подразумевает создание приостановленного процесса, очистку его законной памяти и запись в неё вредоносного кода, что позволяет маскировать активность бэкдора.
Функциональность бэкдора DCRat
DCRat представляет собой мощный инструмент удалённого доступа. После запуска он расшифровывает строки, содержащие адреса серверов командования и управления (C2), проверяет ключ, создаёт мьютекс для избежания повторного заражения и имитирует установку легитимного ПО. Для поддержания активности бэкдор предотвращает переход системы в спящий режим.
Затем DCRat пытается подключиться к указанным C2-серверам. В данном случае использовались домены "thepiratebay.st" и "thetorpiratebay.st" через порт 443. После успешного соединения бэкдор отправляет злоумышленнику детальную информацию о системе: идентификатор компьютера, имя пользователя, версию ОС, права доступа и другие данные.
Основная опасность DCRat заключается в его модульной архитектуре. Он способен загружать и исполнять произвольные плагины, получаемые с сервера. Это превращает его в универсальную платформу для последующих действий: кражи данных, криптоджекинга, установки шифровальщиков или организации атак на другие системы в сети.
Выводы и рекомендации
Данный случай наглядно иллюстрирует, что угрозы, связанные с пиратским контентом, эволюционировали от простого мошенничества до сложных цепочек компрометации. Атака сочетает в себе социальную инженерию, обфускацию кода, динамическую компиляцию и продвинутые методы уклонения от обнаружения.
Эксперты Huorong Security настоятельно рекомендуют пользователям проявлять повышенную бдительность. Следует избегать скачивания программного обеспечения и медиафайлов из непроверенных источников. Подозрительные файлы, такие как необычные ярлыки или скрипты в архивах с фильмами, ни в коем случае нельзя запускать. Единственным безопасным способом потребления контента остаются легальные онлайн-кинотеатры и стриминговые платформы.
Кроме того, критически важно поддерживать актуальное состояние средств защиты. Специалисты советуют регулярно обновлять антивирусное ПО, такое как Huorong Security, чтобы обеспечить детектирование даже самых новых и изощрённых угроз. Потенциальный ущерб от утечки данных или шифрования файлов многократно превышает мнимую экономию на пиратском контенте.
Индикаторы компрометации
Domains
- thepiratebay.st
- thetorpiratebay.st
SHA256
- 6dddf666b03739a86630ffde79e72290e45406613d3f7fb1260b5baeccbff19d
- d3ef9f47ab20192f4f1acb7098a4481f2faca5778e3e31e8aa61414af87328d7
- f32ef0d43b7030d470935102c8cd0ae2b2b1c9e3cb8e4ad7a7912c1c30eeb679
