PhantomVAI: Кастомный лоадер на базе старой утилиты RunPE угрожает глобальным компаниям

Изначально лоадер был обнаружен во время анализа вредоносной кампании, распространяющей стелер DarkCloud. Эксперты обратили внимание на неопознанный компонент загрузки. Позже выяснилось, что несколько других исследовательских групп, включая IBM X-Force, Fortinet и Nextron Systems, независимо друг от друга анализировали аналогичный инструмент. При этом каждая группа присвоила лоадеру свое имя, что могло привести к путанице в индустрии кибербезопасности.

Тщательное сравнение технических деталей позволило с высокой уверенностью утверждать, что все аналитики столкнулись с одним и тем же объектом. Ключевыми доказательствами стали уникальные артефакты в коде. Во-первых, это наличие метода "VAI", ответственного за загрузку удаленной полезной нагрузки (payload). Во-вторых, во всех образцах присутствуют строки на португальском языке, такие как *caminhovbs* и *nomedoarquivo*, что указывает на возможное бразильское или португальское происхождение разработчика.

Кроме того, лоадер почти всегда маскируется под легитимную библиотеку "Microsoft.Win32.TaskScheduler.dll", основанную на открытом проекте с GitHub. Также он содержит метод "VMDetector" для выявления виртуальных машин, что позволяет злоумышленникам усложнить анализ своей деятельности. Специалисты Intrinsec проследили истоки одной из ключевых функций лоадера - процесса hollowing (процессного поглощения). Эта функция оказалась утилитой "Mandark", разработанной и выложенной в открытый доступ пользователем форума HackForums несколько лет назад.

Использование старого, но эффективного кода демонстрирует тенденцию киберпреступников к адаптации проверенных инструментов. PhantomVAI применяется для доставки разнообразных угроз, включая Remcos, XWorm, AsyncRAT, DarkCloud и SmokeLoader. Широкий спектр полезных нагрузок и большое количество фишинговых приманок свидетельствуют о масштабе операций. По мнению аналитиков, лоадер может работать по модели "loader-as-a-service", то есть предлагаться как услуга различным группам злоумышленников.

Разнообразие названий, данных разными вендорами, - например, VMDetectLoader - лишь подчеркивало фрагментарность первоначальных исследований. Некоторые имена акцентировали лишь одну из его функций. Эксперты Intrinsec поддерживают предложенное Palo Alto Unit42 название "PhantomVAI". Оно удачно отражает суть инструмента: "Phantom" намекает на скрытность, обеспечиваемую методом процессного поглощения, а "VAI" указывает на его основной кастомный метод.

Для противодействия этой угрозе исследователи рекомендуют сосредоточить усилия на обнаружении. Практически все образцы маскируются под одну и ту же DLL. Следовательно, мониторинг попыток ее несанкционированной загрузки или выполнения может служить эффективным индикатором компрометации. Intrinsec также опубликовал Yara-правило для хантинг-активностей, что поможет специалистам по безопасности выявлять угрозу в своих сетях.

Таким образом, PhantomVAI представляет собой серьезный инструмент в арсенале киберпреступников. Его модульность, способность обходить защиту и широкое распространение в фишинговых кампаниях требуют повышенного внимания со стороны SOC. Унификация названия и понимание общих характеристик лоадера - это важный шаг к построению скоординированной обороны против постоянно эволюционирующих угроз.

SHA256

• 00526cce0ca55d55ba14a18062711d48a04f789fcac379e521edfaf379026b6b
• 0995a8d52d1f0d83f98d3312d67d45dd5dacb5455e05f990bca496e42c475cac
• 0b1f7c248b68e15f49c201717baf55693710f7fcc9a6e0f31eeaad46f9b2352e
• 0e9d1b66f84af15cbaef33f31b1b9ec74e5b04b9095515ffa53b8e7f49d5d6cb
• 1061ba3031f3f7a8816dad7b5c4f8a6ea1d9afe20d59193bdf623b1de6ee8a04
• 126e2987629e5d408c99648b2f1c87a42f9b3b6bb66bca7ae141e9a4b039dae7
• 12819d7875bf20f9233c978896a7bb13caeca11ef1f457e849547e3847eee586
• 16e14cfa12bee177d2685df94fc7e9e7fef2362bf9f5c251e35d623ec3a8016a
• 1b76913ec14bf601621057b2b053b58865e01a20408979567f32c7d16d250654
• 20b1696ef7c36d2de222c1688e696edd35edc3825d7594f3d30c996df0595a96
• 236ccfa7a6e8e11dcef470390963b923e494b0b127db7986cefd4904219d6b13
• 28da4801058a39633e0a4155f98565cc69e38264f500a0b80a9f231a1f680f4f
• 33cbed4b1eae84b040fe9b0360cb4860e65ee39a73da28d01f5d1c60146ff3fc
• 365ccd90cbe89509efa0bb2ee261b638bbfdff28654a0e17faef981002ba2383
• 36a58d8d96450b789a9116acac6fa41f003c869c49c7ec929b790f6d94e5596b
• 3feb52e0d0d0de9b281f5c47e068a3559cd69da960609418b3725f2e93cfb838
• 4a717d046c4bcc541186142b0edf199aff28ce46ce2ddc5b4f2bbc9e28a17532
• 4ec699079fbe22aeb7181da42d43017b8c43d6fd7916d7cdd2c4d3f5f9643e27
• 4f3577477cf7821f12d591ba8070a5998bf0ea0edb132ead3c18e0ae60d58d5e
• 50fe1f7e7b3ddf96b32f18815a7ee7e4b579d9d1a094d872d8bfcaefe39bc1c8
• 512b60dab0ffbc1ba887e772e49a0f9e15a636c13290895cfb400227cbb3c74a
• 585e70a6d9d95c0032fc9958635f24bdc436a20781b77c4187e61a1ad1a5e2fd
• 58633169208fccdb5c5a5672b28fdc4262cf6077ac3896f9aed2dccb08e5201b
• 58fca3ec72fa43293fcd972ea34c93043e41ef00e4fac095f358aeb30359c606
• 595cf34b521837ccf2a465228991f7440e55fbfd2c8b5ae4e1faa29bd127823b
• 5c47e713cb57d1152b9315a1fd1c207516ef27d4764e16a9bdea2add4dfab51c
• 5ce779ad24a0c8ea3eeb52338ae80a6327c866b8f5b71b21e9860563b58ebe87
• 613e3d9d2e803fe6147c623ad6e5ed3929c0ac8044b06b11e60dd7c6537e30df
• 6324fe12d3e7d5fe462884cc294487cc1d38a31a923238ac50ce3875d88ead06
• 6513a6862e7cd9494566e56b6ccf2a88727f442ed217b73dc878d0097e7b0343
• 678ac4e02bde71d5a5353c2da6217d23bf1b0359c977f532f0384fe2e6d44826
• 68c9a23b9088773039375d22e1842c6b6b908346d67c59c6f3c1a2692b74592a
• 691d00b4c5e3f8d95823baffcd9973906d36ee6deb691132012af44ccae1559c
• 6cf9b5093d142564e06c19c35d4ca829e672a7afcf1f1949b58f8e02f0669abe
• 6f38f825feac59c1a84df9a020fde4730b8e65b60d8177bff16b49a26ab8ec57
• 6ffa1be1d8352120cbbc353fe3276982fd80c0cf9aed6a1f1ab4e87506797f63
• 709a6a034abcbc58a685605239776c35ea949c3d97e8ff6da3a9b16dc1c0ebf6
• 7721bcd7534250e53fa7366500f7e784e8f3dc1f3807ce7161e69960c1d63293
• 7a81447f86c1cc0989ae76935ba3929558180aa423d9f502788ff6aec2a13853
• 80b03db2ac034e63180bddd7f2e81483be330a85a0174527befdb90364ffe5fa
• 812fd5938c263e89b68c18a29b24c4cae06bbf0b07214a2bac8b53c5537f9109
• 826932f8997383323b476b64bb21020ec25f9252c80f7e94c62a7600a54c92cd
• 88844bc0e1670a4d2b6110a1b2194229933359614a48b5f3d45d799ce127409d
• 894c9a4dc0cfa86f349a3a23aa8136383e99ce8a0deda6fe3c2507450ba20390
• 900f4815625d1f4f5bba4168c713e808c2b02aaf7b82fb96b3a4aea01d2fa24c
• 90fe9ff2f0a9d48e8808405191457636bdb01577600fe07a8642de37b88c01cf
• 946faa28f4d404e6b9e744bc813023293ec44241fa3d4755b66eec6b14380b5c
• 970198d2257c15b654506c1c6b24c91ffb6bc17892d489d29f5a98a261006621
• 993629285d9dd83544ba0b769de360d2e758e10b44a714733e5e5f906238259c
• 9b20b5a20375d976c417b266ab6f10f3cb121af71f4a8344c94aa5a5115ba1f1
• 9c5faeb0b7c8599eed1e421d17e76568ffe9ea1c2c87800d2074aa8616c37797
• a000c989ffb2aa4f0c4dbd932a1442916016258ca9c416be3398a22ffef35a60
• a1e8194e587ad3ecf0c33ccfd401de26285b85fa6a6d6ba70eac873afbf49cc1
• a1edf9b9b8aab1ce9b5e17d73e2a9a2c45cfb1894417aac1361ce370718cbbfe
• a777f34b8c2036c49b90b964ac92a74d4ac008db9c3ddfa3eb61e7e3f7c6ee8a
• a7993775f4518c6c68db08e226c11e51f9bc53314e4ff9385269baac582e2528
• aa1d869004d526d6c1b1bff7ff4f766482b02dace8cd693e9a1d685bc5fe098f
• aad413b99f35ee3f12f07cfeb5efaa1eaac5ed5661882d3df79f7e310f4b1d69
• ad56fda884ad3bf52124cab18e6cdb81291da3fe065ed0793184a620124a6fbf
• b51aecf66f737401a308e011c824bea3b34e83f4dd323da002e98fddffa53a59
• b5552a118ce5530f97303937304fa0a2bbc808289e564e5566caab34a2731b15
• b596a84e17225281be2aa6dd9ac213d5debe3b6d44c1575e2f4e5756499d40ef
• b8e752869f82ed0c7d76c9b06679ecfd28778c12711392827853c9cc5abaec8d
• bade9ab27330d2c73f9f0391a037bcda21f0beba4ea55ff3fd308874345e53ed
• be50f7ec3e06a13a5bfb99893fb767639dca11e544a051d5b8a493d86dac8d76
• c208d8d0493c60f14172acb4549dcb394d2b92d30bcae4880e66df3c3a7100e4
• c2bce00f20b3ac515f3ed3fd0352d203ba192779d6b84dbc215c3eec3a3ff19c
• c3560bfa9483e7894243e613c55744b7f1705a53969f797f5fe8b2cb4fb336cc
• d164b27bb02196fa1b45b1e37c4e59fc349bba1fa8e68dc55c75985475f95b77
• d2d63a0434131289d2865e24940178bebb643366dc5279d10848cf4bc714b24a
• d34a25707bcec90ec41346290750debeade966a6db0f3cfdce7472917eaad628
• daaceaa05e2a5f5995d5e25628b3d86e40dbcb743125ce4aace51e444ac48ac6
• dd148325d606b9df924a264e7b57e2b0871796fc5f94bdcff9ceb729b8a2d022
• e42474c107be15fd142f862138c0311eaa35efe5e86a92c6041f0d85cdd0a7bb
• ec02aeb9bed953ceed70125727ea22013ddc6f6cd9d6bc643c33dceaab4fc455
• ec32e32607313ac8f74d68b20db30d94b3f813765c379dd4d6827db10ba70633
• ec89764710094e5f4bca950236f4bde332c24af846da691e1ec62ab3fd59b08c
• ee43ac896873d4e167762724e13a8c687a63caf3a43ad3ce51fb9256a3544567
• f15e14ebf36994b97276ac49f84df973623a313489a1a9e86bd4e30feb225fad
• f276a2d12d0264e76cb2c60a54660fc019f2f67c22458320efcb71fe339a1b93
• f30587f288922d793141c78731e1e41049c4006feda29d1b813eacae5a201600
• f356cb285410414361eb780a67fec4d956c43db9a9a806bc65c2f7635f38cab8
• f3d31826a8268d665c2f24be06e0fadd00fb96b6f59108fa8d69981fe53a024a
• f62368673a9ad3758d7862e26c000ad41819316d08d9f750d06e73d67a880af5
• fb5116f93365182f235b12d780e03bb8a2a98f389f81cf0d5832dbdc722b346d
• fc27ceea895c9ebb23dc24963b752b1da3eff525967cdfa721d88bbad5aa5eb3
• fe16d042f9b5ca49e87e100d7977420951e8e2bf275f246563e84cb2babe3dd8

• TLP-CLEAR-20260130-PhantomVAI_Loader.pdf