Поддельные утилиты в Microsoft Store: WinDirStat и LightShot используются как приманка для установки скрытого прокси-импланта

Внешне приложение ничем не отличается от легитимной утилиты. Пользователь видит знакомый интерфейс, который нормально работает. Однако уже в момент запуска происходит нечто опасное. Основной процесс Electron через библиотеку koffi (инструмент для вызова нативных функций из JavaScript) загружает динамическую библиотеку client.dll. Эта DLL написана на Go и экспортирует функцию Start. Код в главном процессе вызывает её асинхронно, передавая строку-идентификатор кампании, например -user_id=microsoft_store_WinDirStat_Disk_Analysis_9MW9HR27K9B9. Если загрузка DLL по каким-то причинам не удаётся, приложение всё равно продолжает работу - это значит, что вредоносная часть отделена от пользовательского интерфейса и легко заменяется.

Как только DLL активируется, она связывается с удалённым командным сервером. Протокол взаимодействия минималистичен и состоит из двух этапов. Сначала выполняется регистрация: клиент отправляет POST-запрос на /register, передавая уникальный идентификатор устройства (HWID), номер билда и тот самый user_id. В ответ сервер присылает параметр ping_interval - интервал, с которым имплант будет периодически "стучаться" обратно. На втором этапе начинается цикл контрольных сигналов (heartbeat): каждый заданный интервал клиент отправляет POST на /ping и получает команду action: wait, что означает "продолжай слушать". Так сервер может в любой момент изменить интервал или отдать другую команду.

Статический анализ client.dll дал гораздо более тревожную картину. Внутри библиотеки обнаружились исходные пути, характерные для специализированного инструмента обратного подключения (backconnect proxy). Как говорится в аналитическом отчёте, авторы которого провели ручное реверс-инжиниринг и динамическое тестирование, среди строк присутствуют адреса вроде server/src/backconnect/helper.go, proxy.go, session.go, а также упоминания библиотеки yamux (протокол мультиплексирования потоков поверх одного соединения). Использование yamux означает, что через единственный канал C2 могут передаваться несколько логических потоков - например, одни для прокси-трафика, другие для управления. Кроме того, в коде найдена ссылка на пакет github.com/denisbrodbeck/machineid, который извлекает уникальный идентификатор аппаратного обеспечения. Это подтверждает, что передаваемый при регистрации HWID не случаен: он нужен для однозначной идентификации заражённой машины в инфраструктуре злоумышленника.

Чтобы окончательно убедиться, что именно client.dll несёт вредоносную нагрузку, исследователи провели простой, но показательный эксперимент. Они заменили оригинальную DLL на копию безвредной библиотеки ffmpeg.dll, переименованную в client.dll. После этого приложение по-прежнему запускалось и работало как обычно - пользователь не заметил бы разницы. Однако никаких запросов на C2-сервер больше не поступало. Сетевой трафик полностью прекратился. Это доказывает: вредоносный код сосредоточен именно в client.dll, а программа-обёртка Electron используется лишь для его загрузки и в качестве приманки. Разработчики кампании могут легко заменять DLL в разных приложениях, просто меняя user_id, - и для этого не нужно переписывать саму оболочку.

Ещё одна тревожная деталь - поведение после закрытия окна программы. Когда пользователь нажимает "Закрыть" на интерфейсе WinDirStat, процесс (WinDirStat.exe) не завершается полностью. Несколько его экземпляров остаются в фоне, продолжая работать без ведома владельца компьютера. Это не означает, что имплант автоматически запускается при старте системы (персистентность не доказана), но это явная попытка скрыть активность. Жертва искренне полагает, что приложение выгружено, а на самом деле её устройство продолжает быть частью прокси-инфраструктуры злоумышленников.

Связь между разными поддельными приложениями подтверждается поиском по хешам (YARA-правила) и данным VirusTotal. Обнаружены и другие образцы, использующие аналогичные или идентичные DLL обратного подключения. В частности, один из пакетов выдает себя за утилиту LightShot (файл UAPSignedBinary_HobbyApps.Lightshot_1.0.4.0_x86__6b1d5ygjy0x60.msix). Судя по всему, злоумышленники создали целую серию подставных программ, каждая из которых привлекает пользователей определённой функцией, а загрузчик остаётся одинаковым.

Каковы последствия для заражённой машины? Компьютер становится частью ботнета, работающего как цепочка прокси-серверов. Злоумышленники могут направлять через него трафик, чтобы скрыть свои следы при атаках на другие цели, обходить географические ограничения или проводить противоправные действия, например для атак на веб-ресурсы. Для корпоративных пользователей такой инцидент особенно опасен: если устройство сотрудника оказывается в этой сети, весь исходящий трафик компании может ассоциироваться с преступной активностью, что приведёт к блокировкам IP-адресов, репутационным потерям и правовым рискам.

Эта история - напоминание, что даже магазин приложений Microsoft не гарантирует безопасность. Злоумышленники продолжают использовать доверие пользователей к официальным каналам распространения. В данном случае вредоносная программа не требует сложных эксплойтов или уязвимостей в операционной системе - достаточно того, что пользователь скачает и запустит поддельную утилиту, которая внешне не вызывает подозрений. Защититься от такой угрозы помогут внимательная проверка издателя приложения (легитимные WinDirStat и LightShot не распространяются через Microsoft Store третьими лицами), использование современных средств антивирусной защиты с поведенческим анализом и, конечно, критическое отношение к любым программам, даже если они найдены в официальном магазине. Аналитики уже передали свои находки корпорации Microsoft, но на данный момент поддельные пакеты могли успеть заразить тысячи устройств.

IPv4

• 144.124.254.145
• 89.124.124.112
• 91.84.106.129

Domains

• api1.checkupdatesnow.xyz
• api1.mylabubus.shop
• api2.checkupdatesnow.xyz
• api2.mylabubus.shop
• helper.labubusmarket.com
• relay.labubusmarket.com

SHA256

• 0769624f9b1e59eef3ca36fed6977d604c6785eb7d24f7419b344245cb6a86c7
• 09049e365c86e0bc6192fb1601d0fbe6bf2235f9f3e26ea1c83e26f41d041530
• 27870854b9e85265e21d06a4b9e696093c1558c1480e36a42540943d66f7a3ec
• 42b989fb7b81ac22c91ceb8022e21805acd949b6f0cec36a9ad72496f4fae791
• 453b6bb2f4e38ef477bdf9db13572d346f4341b44e0ed16f6c3fdbd0b1140739
• 54a79692f3406c9fdf5ad4d090e6593a8906fcd6620c1ecf2f22c7390b577b78
• 6af8931615475941b797f9a4a2f2149c06502f52435bb307a7d7bbbdc6323abd
• b130bc1fadd1a8c819e5e98a2961767f4e885a473bcc6c8bc0f75464c5089c83
• b2e79c6b7c1234d58b96154a5db59ea393ae998dc493cc67aca5b12c253dfa35
• bc2ea22be1b6e77a4c15350f5a9c049d9d84505c64941e65e8191db4d0fbd7e4
• df90d0244e783ae7dc917355e245f549ca532d31e5afb233979838f6f116d07f
• e9b37e1b2e50212f84ff16c8e44e1e87ac90e458db8610c1c9379de76283c8f2
• f61252203cc8b3ea93354c252e22b4ec8e5e1d6e7d3cac11bef64dfb7deddf3e