Эксперты по кибербезопасности обнаружили новую кампанию, в ходе которой злоумышленники распространяют вредоносное программное обеспечение, маскируя его под легальные вспомогательные утилиты для Windows. В поле зрения исследователей попали приложения, заявляющие о себе как о тестерах скорости интернета, инструментах для чтения руководств, PDF-утилитах и даже фронтендах для поиска с искусственным интеллектом, например, justaskjacky. Анализ показал, что установщики этих программ помимо заявленного функционала тайно развертывают на компьютерах пользователей скрытый компонент, обладающий широкими возможностями для несанкционированных действий.
Описание
Основная тактика злоумышленников заключается в использовании инсталляторов, созданных с помощью Inno-Packer. Процесс установки выглядит стандартно: пользователь получает исполняемый файл, который выполняет обещанные функции. Однако параллельно, без ведома пользователя, установщик извлекает на диск портативную среду выполнения Node.js, создает запланированную задачу в Планировщике заданий Windows и помещает сильно обфусцированный JavaScript-файл. Критически важно, что этот JS-код не требуется для работы основной программы. Экспериментальным путем подтверждено, что после удаления скрипта заявленное приложение продолжает функционировать в штатном режиме, что доказывает его второстепенную и скрытую роль.
Обфусцированный скрипт запускается независимо от основного приложения с помощью созданной запланированной задачи, которая активируется примерно каждые 12 часов. Это обеспечивает персистентность (устойчивость) вредоносного компонента в системе. При запуске скрипт выполняет ряд действий: он собирает данные о системе, в частности, получает уникальный MachineGuid из реестра Windows с помощью команды "reg.exe QUERY "HKLM\Software\Microsoft\Cryptography" /v MachineGuid". Затем он инициирует зашифрованное сетевое взаимодействие с командным сервером, расположенным на домене cloud.appusagestats[.]com.
Сетевой трафик тщательно обфусцирован. Данные, отправляемые на сервер, кодируются, а ответы сервера также поступают в закодированном виде. Анализ показал, что механизм расшифровки ответа предполагает извлечение XOR-ключа из первых 16 байт данных после их декодирования из base64, с последующим применением этого ключа к оставшейся части сообщения. Расшифрованные команды с сервера могут предписывать выполнение произвольного кода на машине жертвы. В ходе тестирования исследователям удалось перехватить ответ сервера, который содержал команду на запуск PowerShell-скрипта для отображения всплывающего окна. Это демонстрирует, что злоумышленники имеют возможность выполнять любой код, что превращает скрытый компонент в полноценный бэкдор.
Подобная схема значительно увеличивает поверхность атаки. Легальное, на первый взгляд, приложение становится удобным "троянским конем" для установки скрытого фонового модуля. Пока пользователь использует программу по прямому назначению, бэкдор в фоновом режиме поддерживает связь с командным сервером и готов к выполнению вредоносных инструкций. Это делает угрозу труднообнаружимой для обычных пользователей и даже для некоторых антивирусных решений.
Обнаруженные образцы демонстрируют сходство с ранее исследованными фиктивными приложениями, такими как Fake Manual Reader и Fincder, что может указывать на одного и того же автора или на использование общей платформы для создания вредоносов. Повторяющиеся строки в декодированных скриптах, включая версию "0.2.1" и шаблоны JSON для передачи данных, подтверждают эту связь.
Данный инцидент лишний раз подчеркивает важность соблюдения базовых правил кибергигиены. Пользователям следует загружать программное обеспечение только из официальных и проверенных источников, быть крайне осторожными с предложениями малоизвестных утилит и обращать внимание на подозрительную активность в системе, такую как неожиданное появление неизвестных процессов или сетевых подключений. Для организаций ключевую роль играют решения для защиты конечных точек, способные обнаруживать аномальное поведение и блокировать выполнение скриптов из непроверенных источников, а также мониторинг сетевой активности на предмет соединений с подозрительными доменами. Обнаружение подобных сложных угроз требует проактивного подхода и глубокого анализа как статических свойств файлов, так и их динамического поведения.
Индикаторы компрометации
Domains
- cloud.appusagestats.com
- onlinespeedtestservice.com
MD5
- 20acdf3519635a75fce5dff425f64166
- 5323dcab8dc8bd7e3282e75c0357eeab
- 77b85765b07954ac0ef88757cb87ac85
- 7feff78eaa5bc4b6986c7077b4c0bb82
- 8139f622af19e46bacef44a04890afac