Специалисты Securonix обнаружили целенаправленную атаку на франкоговорящие компании с использованием фиктивных резюме

Инцидент начался с фишинговых писем, предположительно адресованных сотрудникам отделов кадров и рекрутинга. Вложение представляло собой VBS-скрипт с названием "nouveau_curriculum_vitae.vbs" ("новое резюме"). При открытии в текстовом редакторе файл отображал сообщение на французском языке об ошибке, якобы требующее запуска на компьютере, что являлось элементом социальной инженерии. Однако главной технической особенностью этой начальной нагрузки стал беспрецедентный уровень обфускации. Файл размером около 9,7 мегабайт содержал 224 471 строку, из которых лишь 266 строк (0,12%) были исполняемым кодом. Остальные 224 205 строк представляли собой комментарии, заполненные случайными английскими предложениями. Такой подход резко затрудняет ручной анализ и делает файл практически невидимым для сигнатурных антивирусных сканеров, ориентированных на поиск шаблонов в коде.

Перед развертыванием основной полезной нагрузки зловред выполняет серию проверок окружения. Наиболее примечательной из них является так называемый "доменный шлюз". Скрипт с помощью инструментария WMI запрашивает свойство "PartOfDomain" у системы. Если компьютер не входит в домен Active Directory, полная цепочка заражения прерывается. Эта избирательность явно указывает на целевой характер кампании, ориентированной именно на корпоративные сети, где ценность украденных учетных данных и доступ к внутренним ресурсам значительно выше. Кроме того, скрипт содержит временные циклы для уклонения от песочниц, проверяет наличие мьютекса для предотвращения повторного заражения и входит в бесконечный цикл запросов повышения прав (UAC), пока пользователь не предоставит административные привилегии.

После получения прав администратора вредоносная программа приступает к отключению систем защиты. Она добавляет исключения для всех основных дисков в Microsoft Defender, что фактически ослепляет антивирус, и отключает контроль учетных записей (UAC) через реестр. Затем начинается этап загрузки основных компонентов. Используя легитимный сайт 7-Zip, скрипт скачивает архиватор, переименовывает его и с его помощью извлекает два пароль-защищенных архива, размещенных на платформе Dropbox. Использование популярных и доверенных сервисов, таких как Dropbox и 7-Zip, является частью стратегии Living-off-the-Land (LotL), которая усложняет обнаружение аномальной активности.

Извлеченный набор инструментов, размещаемый в папке "%Public%\WindowsUpdate\", включает в себя несколько модулей. Компонент "RuntimeHost.exe" действует как бэкдор и троян удаленного доступа (RAT). Скрипты "mozilla.vbs" и "walls.vbs", выполненные в том же обфусцированном стиле, что и начальный дроппер, отвечают за кражу данных. Первый собирает профили, куки и сохраненные пароли из браузеров Firefox и на базе Chromium. Для обхода встроенного шифрования Chromium (App-Bound Encryption) используется инструмент ChromElevator, который извлекает учетные данные без прав администратора. Второй скрипт собирает все текстовые файлы с рабочего стола жертвы. Специалисты Securonix отметили в своем отчете, что весь процесс кражи и упаковки данных занимает считанные секунды.

Собранная информация эксфильтрируется по протоколу SMTP через сервер "smtp.mail.ru" на порту 465 с использованием SSL. Каждое письмо помечено в теме кодом страны жертвы и типом данных, что позволяет злоумышленнику легко сортировать украденную информацию по географическому признаку. Третьим ключевым компонентом является майнер криптовалюты Monero на базе XMRig ("mservice.exe"). Его конфигурация динамически загружается с взломанного марокканского сайта на WordPress, что является креативной формой сокрытия командного центра. Майнер настроен на работу в скрытом режиме: он приостанавливает свою деятельность при активности пользователя, маскирует сетевое соединение под обычный HTTPS-трафик и использует легитимный драйвер "WinRing0x64.sys" для повышения эффективности майнинга за счет прямого доступа к регистрам процессора.

Для обеспечения устойчивости в системе вредонос использует двойной механизм персистентности. Он создает автозагрузочные ключи в реестре с именами, имитирующими легитимные службы Microsoft, а также скрытую запланированную задачу "MicrosoftUpdateService", которая запускает майнер каждые 10 минут. После завершения кражи данных скрипты выполняют тщательную очистку, удаляя большинство вспомогательных инструментов, что значительно сокращает следы компрометации для последующего расследования.

Инфраструктура кампании включает серверы на хостинге OVH во Франции, VPN-провайдера в Швеции для анонимизации, взломанные марокканские сайты и российский почтовый сервис. Сочетание французских приманок, использования франкоязычных сервисов и избирательного таргетирования корпоративных доменов указывает на финансово мотивированную группу среднего уровня сложности, вероятно, связанную с франкоязычным регионом. Эта кампания демонстрирует растущую тенденцию, когда угрозы сочетают несколько монетизационных векторов - кражу конфиденциальных корпоративных данных и скрытое использование вычислительных ресурсов для пассивного дохода. Для специалистов по безопасности ключевыми индикаторами компрометации могут стать подозрительная активность "wscript.exe", нехарактерные SMTP-соединения со скриптовых хостов, а также сетевые подключения от процесса "explorer.exe" к нестандартным внешним адресам.

IPv4

• 141.94.96.144
• 141.94.96.71
• 172.67.69.226
• 208.95.112.1
• 217.64.148.121
• 46.105.76.166
• 94.100.180.160

Domains

• eufr18-166.workdns.com
• expressnegoce.ma
• fortrust-cf.ma
• lmtop.ma

URLs

• https://lmtop.ma/wp-content/uploads/2018/05/1300.png
• https://pastebin.com/K9rHTWbB
• https://www.dropbox.com/scl/fi/00v09bc31ppk9tcr1c1fz/gmail_ma.7z?…
• https://www.dropbox.com/scl/fi/w539fqxeew7p4tooxymd5/gmail2.7z?…

Emails

• 3pw5nd9neeyn@mail.ru
• olga.aitsaid@mail.ru
• vladimirprolitovitch@duck.com