Угроза нового поколения: ботнет OCRFix использует блокчейн BNB Smart Chain для неуловимого управления

В мире кибербезопасности появилась новая, технологически изощренная угроза, которая ставит под сомнение эффективность традиционных методов защиты на основе анализа сетевого трафика. Речь идет о ботнете под условным названием OCRFix, который для управления зараженными системами использует не традиционные серверы, а смарт-контракты в тестовой сети блокчейна BNB Smart Chain (BSC). Этот подход, известный как EtherHiding, позволяет операторам зловредной программы мгновенно менять всю инфраструктуру командования и управления, отправив всего одну транзакцию в блокчейн, в то время как сотни зараженных компьютеров автоматически подхватывают новые адреса. Кампания была активна как минимум до 3 марта 2026 года и представляет собой эволюцию известных схем ClickFix, нацеленных на массовое заражение.

Описание

Атака начинается с классической социальной инженерии. Жертва попадает на поддельный сайт, где ей показывают фальшивую CAPTCHA. Скрипт на странице просит пользователя открыть диалог "Выполнить" в Windows (Win+R) и вставить (Ctrl+V) команду, которая уже находится в буфере обмена. Эта команда, написанная на PowerShell, загружает и запускает вредоносный установщик в формате MSI, замаскированный под дистрибутив "PHP 8.4". Этот начальный этап, известный как векторинг доступа, полагается на невнимательность пользователя и использует легитимные системные утилиты, что затрудняет его блокировку.

С технической точки зрения, ботнет представляет собой трехступенчатую архитектуру, где каждый этап отвечает за свою задачу. Первая ступень - это загрузчик, который после запуска обращается к смарт-контракту в сети BSC testnet, чтобы получить актуальный URL-адрес для скачивания второй ступени. Вторая ступень отвечает за повышение привилегий и закрепление в системе. Она использует хитрый цикл на PowerShell для обхода контроля учетных записей (UAC) и, получив права администратора, создает две запланированные задачи в системе. Третья ступень - это непосредственно бот, который каждые 60 секунд связывается с панелью управления, получает команды оператора и выполняет их. Все три модуля представляют собой скрипты на VBScript, скомпилированные с помощью инструмента VBSEdit и обфусцированные сложными арифметическими выражениями, что позволяет им ускользать от обнаружения большинством антивирусов.

Именно механизм EtherHiding является ключевой инновацией и главной проблемой для защитников. Каждая ступень ботнета хранит адрес своего смарт-контракта в коде. Во время работы программа отправляет стандартный JSON-RPC запрос к публичным узлам блокчейн-сети BSC, таким как "bsc-testnet.publicnode[.]com". Запрос абсолютно легитимен и не содержит в себе никаких явно вредоносных индикаторов. В ответе, в закодированном виде, содержится текущий URL-адрес сервера управления. Чтобы сменить всю инфраструктуру C2, злоумышленнику достаточно обновить данные в смарт-контракте одной транзакцией. Как сообщают исследователи, это позволяет ротировать домены с высокой скоростью, делая бесполезными блокировки на уровне DNS или IP-адресов. Обнаружение такой активности требует глубокого анализа содержимого ответов блокчейн-узлов или мониторинга взаимодействий с конкретными, уже известными адресами смарт-контрактов.

Последствия успешного заражения для организации могут быть серьезными. Бот способен выполнять произвольные команды операционной системы, загружать и запускать дополнительные файлы, в том числе архивы, исполняемые файлы, динамические библиотеки и скрипты. В комплекте с ботом поставляется легитимная копия WinRAR для распаковки архивов. Это открывает путь для последующей доставки шпионского ПО, программ-вымогателей или прокси-серверов для скрытия дальнейшей активности. Наличие в коде комментариев на русском языке и предпочтение временного пояса UTC+3 косвенно указывает на возможное происхождение авторов.

С точки зрения противодействия, инцидент с OCRFix демонстрирует растущую тенденцию использования публичной, децентрализованной инфраструктуры в злонамеренных целях. Защита от таких угроз требует смещения фокуса с простого блокирования доменов на поведенческий анализ и контроль исходящего трафика. Специалистам по информационной безопасности стоит рассмотреть возможность мониторинга запросов к публичным RPC-узлам популярных блокчейнов из корпоративной сети, особенно если такой трафик не является бизнес-необходимым. Кроме того, критически важным остается обучение пользователей, так как начальный вектор атаки по-прежнему основан на фишинге и социальной инженерии. Блокировка выполнения PowerShell-скриптов из непроверенных источников и строгий контроль за созданием запланированных задач также могут прервать цепочку заражения на ранних этапах.