Троянизированный установщик Slack: как фальшивая загрузка создаёт невидимую сессию для атакующего

Атака начинается с классического тайпсквоттинга - регистрации доменного имени, похожего на оригинальное. В данном случае злоумышленники использовали домен slacks[.]pro (с лишней буквой "s" и доменом верхнего уровня .pro вместо .com). Сайт-подделка технически оформлен так, что любой клик по странице, за исключением кнопок принятия файлов cookie, перенаправляет браузер на загрузку вредоносного файла с другого домена. Пользователь, ищущий установщик Slack через поисковую систему и невнимательно смотрящий на адресную строку, с высокой вероятностью попадёт на эту ловушку. Файл получает имя slack-4-49-81.exe, что точно соответствует реальной схеме нумерации версий Slack и не вызовет подозрений у большинства сотрудников, спешащих установить необходимый для работы инструмент.

Особенность этой атаки заключается в её изощрённом дуализме. Вредоносный установщик не просто имитирует процесс инсталляции, а действительно устанавливает полностью работоспособный клиент Slack. Параллельно, в фоне, запускается многостадийный загрузчик вредоносного кода. Жертва видит привычный сплэш-скрин, наблюдает появление иконки Slack в панели задач и не имеет никаких визуальных причин полагать, что что-то пошло не так. Как сообщают аналитики, в течение нескольких секунд после запуска в папку временных файлов %TEMP% записываются два компонента. Первый, slack.tmp, является легитимным установочным пакетом Squirrel - фреймворком для обновлений, который используется настоящим Slack, Discord и другими приложениями на Electron. Он корректно инсталлирует мессенджер и прописывает автозагрузку в реестр, что делает систему неотличимой от чистой с точки зрения администратора.

Второй файл, svc.tmp, и есть скрытый загрузчик. Этот исполняемый файл размером около 519 КБ маскируется под "Службу обновления компонентов Windows от Microsoft Corporation". Его внутренняя структура выдаёт использование кастомного криптера: секции исполняемого файла имеют рандомизированные имена (.7ssik, .d1npl), а импорты сведены к минимуму для сокрытия реальных функций. Критически важную информацию раскрывают отладочные строки, оставленные разработчиками в коде. Они описывают архитектуру из двух фаз. На первой фазе (P1) загрузчик соединяется с командным сервером (C2) по IP-адресу 94.232.46[.]16 и загружает зашифрованную полезную нагрузку. На второй фазе (P2) нагрузка расшифровывается, проверяется её валидность (сигнатура MZ) и сохраняется на диск под именем, маскирующимся под файл легитимной службы Windows WMI Provider Host (wmiprvse_*.tmp).

Ключевая цель загрузчика - вызвать из этой библиотеки функцию с названием HvncRun. Аббревиатура HVNC расшифровывается как Hidden Virtual Network Computing (скрытый виртуальный сетевой компьютер). Это специализированный инструмент, характерный для операций финансового мошенничества. В отличие от обычного трояна удалённого доступа (RAT), HVNC создаёт на машине жертвы отдельную, невидимую сессию рабочего стола. Атакующий может открывать браузеры, входить в веб-приложения с уже аутентифицированными сессиями (например, корпоративный портал или интернет-банк) и совершать любые действия, в то время как на физическом мониторе пользователя не будет никаких визуальных признаков этой активности. Для скрытного запуска HVNC-клиента загрузчик использует технику инъекции кода в процесс explorer.exe через общую секцию памяти (section-based injection), что сложнее обнаружить по сравнению с классическими методами.

Последствия успешной атаки крайне серьёзны. Злоумышленник получает не просто доступ к файлам, а возможность действовать от имени пользователя в его же сеансе, обходя многие системы двухфакторной аутентификации, которые доверяют уже вошедшему устройству. Угроза распространяется далеко за пределы инфицированного компьютера. Поскольку Slack интегрирован с корпоративными системами единого входа (SSO) и используется для внутренних коммуникаций, компрометация одной учётной записи может стать начальной точкой для горизонтального перемещения по сети организации, кража конфиденциальных дискуссий или данных. Факт установки легитимного Slack и корректная запись в автозагрузку значительно затрудняют обнаружение инцидента средствами мониторинга.

Данная кампания является наглядным примером современной тенденции, когда вредоносное ПО тратит значительные ресурсы на то, чтобы выглядеть максимально обыденно. Один поток кода выполняет легитимные действия с помощью официальных фреймворков, другой - реализует сложный, многоэтапный процесс доставки скрытого инструментария. Защита от подобных угроз требует сочетания технических мер и повышения осведомлённости пользователей. Критически важно загружать программное обеспечение только с официальных сайтов, используя закладки, а не поисковые системы, и обращать внимание на доменные имена в адресной строке. Организациям следует рассматривать такие инциденты как прямое указание на необходимость жёсткого контроля источников загрузки ПО на корпоративные устройства и внедрения решений класса EDR, способных обнаруживать аномальное поведение, такое как создание скрытых сессий или инъекция кода в системные процессы.

IPv4 Port Combinations

• 94.232.46.16:8081

Domains

• debtclean-ua.sbs
• slacks.pro

SHA256

• 08fd0a82cdeb0a963b7416cf57446564dfed5de5c6f66dee94b36d28bfefec9d
• cfd2e466ea5ac50f9d9267f3535a68a23e4ff62e3fe3e20a30ec52024553c564