В третьем квартале 2025 года специалисты по кибербезопасности Forcepoint зафиксировали резкий рост почтовых кампаний, использующих JavaScript-вложения для доставки широкого спектра вредоносных программ, включая программы-похитители данных и удаленные трояны доступа. Среди идентифицированных образцов - DarkCloud, Remcos, Agent Tesla и Formbook. Аналитики X-Labs исследовали тысячи тем писем и выявили повторяющиеся социально-инженерные тактики, которые позволяют злоумышленникам обходить традиционные системы фильтрации.
Описание
Злоумышленники маскируют свои приманки под повседневные бизнес-коммуникации, используя фиктивные счета, заказы на покупку, уведомления о доставке и даже ссылки, имитирующие файлообменные сервисы типа WeTransfer. Темы писем часто локализованы под язык получателя и синхронизированы с периодами повышенной деловой активности, что увеличивает вероятность успешной атаки. Примеры таких тем включают "Solicitud de cotización", "RICHIESTA PREVENTIVO", "RE: Payment Swift MT103" и "DHL Shipment Notification". Пик активности этих кампаний пришелся на начало сентября, согласно данным обработки почтовых логов.
Эти кампании обычно используют многоступенчатые цепочки доставки. Первоначальная полезная нагрузка представляет собой обфусцированные JavaScript-файлы, упакованные в ZIP-архивы, которые действуют как загрузчики. После выполнения они загружают и запускают похитители учетных данных, инструменты удаленного доступа и перехватчики буфера обмена. В большинстве случаев эти инструменты были доработаны для уклонения от обнаружения и сохранения активности между пользовательскими сессиями.
Анализ этих писем показывает, что они пытаются имитировать стандартные бизнес-сообщения, ориентированные на клиентов с использованием их регионального языка, возможно, сгенерированные из шаблонов, используемых отделами закупок или управления проектами. Эти письма обычно содержат обфусцированные JavaScript-вложения в архивных форматах, включая RAR, 7z, Zip и TAR. Отправители используют такие домены, как *@ymail[.]com, или IP-адреса из различных стран, включая Болгарию и Иран.
Детальный анализ обфусцированного JavaScript-вложения показывает сложные методы маскировки кода. Скрипты хранят строковые фрагменты в массивах, где читаемый ASCII чередуется с необычными Unicode-маркерами, включая эмодзи и редкие символы. После конкатенации фрагментов маркерные символы удаляются с помощью метода замены, а полученная строка выполняется как команда для запуска процесса.
После первого уровня деобфускации JavaScript становятся видны команды PowerShell, которые загружают следующую стадию полезной нагрузки со скомпрометированного домена. Код строит текст команды и использует интерфейс Windows WMI для запуска этой команды как скрытого процесса, что позволяет ей работать в фоновом режиме без отображения окна.
PowerShell пытается подключиться и загрузить следующую стадию стеганографической полезной нагрузки в формате PNG и текстовый файл с дополнительными инструкциями. Загруженный PNG-файл содержит полезную нагрузку, закодированную в формате Base64, представляющую собой DLL или EXE-бинарник. Эти закодированные данные встроены в поток изображения и ограничены маркерами "BaseStart-" и "-BaseEnd", что облегчает извлечение и декодирование встроенного исполняемого содержимого.
Анализ финальной полезной нагрузки показывает, что в основном доставляются .NET-нагрузки. DLL-библиотеки компилируются и защищаются с помощью .NET Reactor с функциями контроля потока и защиты от дизассемблирования. Библиотеки содержат информацию о версии планировщика задач Microsoft и используют рандомизированные имена методов и классов, обфусцированные последовательностями Unicode-escape.
Особого внимания заслуживают методы обнаружения виртуальных машин и песочниц. Код использует Process.GetProcesses() для сбора всех активных процессов в системе, а затем применяет кешированные делегатные функции для проекции каждого процесса в строку с последующей нормализацией и сортировкой. Упорядоченный список сохраняется в обфусцированном члене объекта VirtualMachineDetector, что является частью механизма обнаружения виртуальных сред.
Пространство имен HackForums.gigajew указывает на возможное происхождение из подпольных форумов, известных распространением вредоносных программ. Анализ кода показывает последовательность API-вызовов, характерных для техники process hollowing, нацеленной на процесс RegASM.exe. Эта техника включает создание приостановленного процесса, выделение памяти, запись вредоносного кода, удаление существующих разделов памяти и возобновление выполнения с измененным контекстом.
Объект EmailAction используется для подготовки и отправки электронной почты, возможно, для эксфильтрации данных или обратных вызовов на атакующий почтовый ящик или командный сервер. Обфускация скрывает точные SMTP/FTP вызовы. Вся эта активность происходит после внедрения в легитимный процесс RegASM.exe для выполнения финального похитителя и RAT, которые пытаются извлечь критически важные данные на динамические DNS-серверы или через SMTP/FTP клиенты.
Третий квартал 2025 года демонстрирует растущую тенденцию использования обфусцированных JavaScript-вложений в почтовых кампаниях. Злоумышленники маскируют JavaScript-файлы под рутинные бизнес-письма, чтобы избежать обнаружения. Эти скрипты действуют как загрузчики, используя PowerShell и стеганографию для доставки .NET-базированных RAT и инфостилеров. Продвинутая обфускация, обнаружение песочниц и внедрение в процессы подчеркивают растущую сложность этих атак. Организациям следует комбинировать расширенную почтовую фильтрацию, защиту конечных точек и повышение осведомленности пользователей для противодействия этим угрозам.
Индикаторы компрометации
IPv4
- 196.251.92.42
Domains
- ftp.haliza.com.my
- tooblessed2bcursed.duckdns.org
URLs
- http://198.55.98.29/FF/stein.txt
- http://198.55.98.29/FF/VXVXH6.zip
- http://motorshipco.rf.gd/arquivo_20250917185017.txt
- https://archive.org/download/optimized_msi_20250814/optimized_MSI.png
- https://drive.google.com/uc?export=download&id=1aSe3ubep62B4re5J5C9DfN4waT-gYIR5
- https://drive.google.com/uc?export=download&id=1y-UcTJccDfFz5O1fUqg1gP8mdwUKVbla
- https://educa.rr.gov.br/resources/img/1.png
- https://files.catbox.moe/91noox.zip
- https://files.catbox.moe/i5wcp9.zip
- https://mohamedayesh.com/z.txt