Скрытая угроза в доверенном ПО: поддельный установщик CPU-Z привёл к утечке данных через виртуальную машину

Атака началась 10 апреля 2026 года с загрузки и запуска поддельного архива "cpu-z_2.19-en.zip" из папки "Загрузки". Внутри архива находился легитимный исполняемый файл "cpuz_x64.exe", однако вместе с ним злоумышленники подложили вредоносную библиотеку "CRYPTBASE.dll". Используя технику подмены DLL (DLL side-loading), которая злоупотребляет порядком поиска библиотек в Windows, атакующие добились выполнения своего кода в контексте подписанного и доверенного двоичного файла. Этот начальный этап, связанный с троянизированным CPU-Z, уже был ранее описан некоторыми вендорами, однако последующая цепочка действий оставалась в тени.

Сразу после загрузки вредоносной библиотеки в системе активировался дроппер трояна STXRAT, который установил связь с командным сервером по адресу "welcome.supp0v3[.]com". Этот этап обеспечил злоумышленникам первичное закрепление в системе. Однако настоящая цель кампании раскрылась в последующих стадиях. Всего через несколько минут после заражения в память легитимного процесса "calc.exe" (калькулятор) был внедрён стилер PureLogs Stealer, предназначенный для кражи учётных данных. Для этого вредонос запускал фоновые (headless) экземпляры браузеров Chrome и Edge с критичным флагом "--no-sandbox", который отключает песочницу - изолированную среду выполнения. Это позволило беспрепятственно извлечь сохранённые пароли и cookies из профилей пользователей.

Параллельно с кражей данных атакующие развернули инструмент для удалённого доступа. Используя встроенные в Windows утилиты "csc.exe" (компилятор C#) и "InstallUtil.exe", они динамически скомпилировали и выполнили компонент PureHVNC, обеспечивающий скрытый интерактивный доступ к рабочему столу жертвы по схеме, аналогичной VNC. Сеанс связи с C2-сервером PureHVNC ("176.65.144[.]46:65001") был зашифрован с использованием нестандартного порта и имел характерный отпечаток JA3, сигнатура которого была идентифицирована базой SSLBL как принадлежащая удалённому трояну (RAT, Remote Access Trojan).

Наиболее изощрённой частью атаки стала организация канала для вывода данных. Для этого злоумышленники развернули в системе легковесную виртуальную машину на базе Alpine Linux с помощью эмулятора QEMU ("qemu-system-x86_64.exe"). Одновременно с помощью утилиты "rclone", загруженной из официального источника, они подняли внутри системы WebDAV-сервер, предоставивший доступ ко всему диску "C:\". Весь трафик с этого локального сервера перенаправлялся через виртуальную машину QEMU, которая выступала в роли сетевого прокси, создавая зашифрованный туннель (TLS) к внешнему серверу "94.156.119[.]71:443". Такой подход значительно усложняет обнаружение, поскольку сетевая активность исходит не от стандартных процессов Windows, а от гостевой операционной системы, что позволяет обходить многие правила мониторинга.

Эксперты, проводившие расследование, отметили в своём отчёте, что эксфильтрация данных по этому каналу продолжалась непрерывно примерно 54 часа - с 10 по 12 апреля. За это время под угрозой оказались любые файлы на системном диске: корпоративные документы, базы данных почты, конфигурационные файлы и, конечно, украденные ранее учётные данные. Анализ расшифрованного сетевого трафика (PCAP) с помощью системы обнаружения Suricata подтвердил не только факт связи со C2-серверами стилера, но и передачу сессии объёмом более 100 МБ на сервер PureHVNC.

Данная кампания демонстрирует высокий уровень операционной сложности и, вероятно, связана с финансово мотивированной преступной группой, использующей скоординированный стек инструментов по модели Malware-as-a-Service (вредоносное ПО как услуга). Сочетание техник Living-off-the-Land (использование легитимных инструментов ОС), обхода песочниц и многослойной инфраструктуры командных серверов было нацелено на максимизацию времени жизни в системе и минимизацию шансов на обнаружение. При этом ранее в отраслевых отчётах других компаний фиксировалась лишь начальная стадия заражения STXRAT, тогда как полная пост-эксплуатационная цепочка была документирована впервые.

Для специалистов по защите этот инцидент служит напоминанием о необходимости охвата нестандартных векторов атак. Ключевыми индикаторами компрометации в данном случае являются: загрузка библиотеки "CRYPTBASE.dll" из неподписанных путей (например, из папки "Загрузки"), запуск "InstallUtil.exe" с ключом "/u" для DLL из временных каталогов, а также появление процесса "calc.exe", порождающего браузеры с флагами отключения песочницы. Не менее важно отслеживать запуск компилятора "csc.exe" из необычных мест и появление в системе исполняемых файлов "rclone.exe" или "qemu-system-x86_64.exe", особенно если они размещены в "ProgramData" и не связаны с санкционированной IT-деятельностью. На сетевом уровне внимание следует уделять TLS-соединениям на нестандартные высокие порты (например, 65001 или 8443) из контекста PowerShell, а также применять анализ отпечатков JA3 для выявления скрытых сессий удалённого доступа.

IPv4 Port Combinations

• 176.65.144.46:65001
• 176.65.144.84:8443
• 94.156.119.71:443
• 95.216.51.236:31415

Domains

• downloads.rclone.org
• welcome.supp0v3.com

SHA256

• 22b50a35ab1eb552e0a25feec057e8b47bf56ae15188c0fba80de3fbfdf2d79d
• 49685018878b9a65ced16730a1842281175476ee5c475f608cadf1cdcc2d9524
• 8119f2ea89079ab7394bb4e8ff221a2f369bf236f95d6aa20f83dc7a98933d9a
• 827dd3704285eb1c41b42b1594e6568d8bd316298302fd3bcbe46903998af90b
• e5c9df28a017d812bddf80bb0f5ac4c8fa5e0053c9008cd46459f6c20d639829
• eff5ece65fb30b21a3ebc1ceb738556b774b452d13e119d5a2bfb489459b4a46