Новая волна кибератак использует поддельные объявления в рекламных сетях, которые выдают себя за страницу входа LinkedIn. Жертвой может стать любой, кто перейдёт по такой ссылке и выполнит простые инструкции на экране. Злоумышленники разработали сложную четырёхфазную схему, которая заканчивается установкой трояна удалённого доступа AsyncRAT. Этот вредоносный инструмент даёт атакующим полный контроль над заражённым компьютером.
Описание
Инцидент начинается с так называемой приманки Clickfix. Пользователь видит окно, которое имитирует проверку учётной записи LinkedIn. Система якобы требует подтверждения личности, а для этого предлагает скопировать и запустить команду в PowerShell. Человек, не ожидающий подвоха, выполняет инструкцию. На самом деле команда содержит запутанный скрипт, который загружает следующий этап атаки. Этот приём давно известен специалистам, но его эффективность по-прежнему высока: многие пользователи доверяют знакомому интерфейсу.
После выполнения команды PowerShell загружает файл с сервера злоумышленников. Скрипт тут же выводит поддельное сообщение "Проверка пройдена!" с логотипом LinkedIn, чтобы успокоить бдительность жертвы. Тем временем в фоне начинается загрузка настоящего вредоносного пакета. В ходе анализа атаки исследователи обнаружили, что на втором этапе используется установщик NSIS, который выступает в роли загрузчика CastleLoader. Этот инструмент не нов, но его модификация под Python вызывает особое внимание.
CastleLoader включает в себя легитимную среду выполнения Python 3.12. Это делается для того, чтобы обойти антивирусные проверки: исполняемый файл подписан и выглядит безобидно. Внутри установщика спрятан зашифрованный скрипт на Python (файл pantography.txt). Когда скрипт запускается, он расшифровывает блок шелл-кода, закодированный в Base64 и дополнительно обработанный XOR. С помощью библиотеки ctypes Python выделяет память в куче и напрямую помещает туда шелл-код. Такая техника не оставляет следов на диске, что делает обнаружение традиционными средствами практически невозможным.
Третий этап - это шелл-код-загрузчик. Он самостоятельно связывается с командным сервером атакующих. Для этого динамически формируется URL на стеке, например guckevichrealestate[.]com/.../v6. Чтобы замаскировать трафик, загрузчик использует WinINet API с поддельным заголовком User-Agent браузера Chrome. Таким образом, запрос выглядит как обычное посещение веб-сайта. Для выполнения полезной нагрузки применяется редкая техника обратного вызова через функцию ReplaceTextW из библиотеки comdlg32.dll. Этот метод редко встречается в реальных атаках и позволяет обойти многие системы мониторинга процессов, которые не ожидают такого способа инжекции кода.
Финальная стадия - рефлексивный загрузчик PE (Portable Executable). Он распаковывает и запускает AsyncRAT непосредственно в оперативной памяти. AsyncRAT - это широко известный троян удалённого доступа с открытым исходным кодом. Он позволяет злоумышленнику записывать нажатия клавиш, делать скриншоты, похищать пароли, загружать и запускать дополнительные модули, а также управлять заражённой машиной в реальном времени. Поскольку всё выполняется в памяти, после перезагрузки системы вредонос может быть удалён, но к тому времени данные уже будут скомпрометированы.
Подобные атаки представляют серьёзную угрозу для бизнеса и частных пользователей. Злоумышленники постоянно совершенствуют методы обхода защиты. В данном случае они использовали сразу несколько техник: фишинговую рекламу, приманку Clickfix, подгрузку легитимного Python, шифрование шелл-кода, замену заголовков трафика и нестандартный вызов API. Это говорит о высоком уровне подготовки группы. Основная цель - получить доступ к корпоративным сетям через учётные записи сотрудников, которые активно используют LinkedIn.
Чтобы защититься от такой угрозы, стоит придерживаться базовых правил гигиены кибербезопасности. Не запускайте команды PowerShell, полученные из ненадёжных источников, даже если интерфейс выглядит официальным. Всегда проверяйте URL, на который ведёт реклама - в данном случае серверы злоумышленников находились на сторонних доменах. Используйте решения класса EDR (системы обнаружения и реагирования на конечных точках), способные выявлять аномальное поведение памяти и инжекцию кода. Регулярно обновляйте антивирусные базы и обучайте сотрудников не доверять всплывающим окнам с требованием немедленного действия. Хотя полностью исключить риск невозможно, многослойная защита существенно снижает вероятность успешного заражения.
Индикаторы компрометации
Domains
- goffmanlawyer.com
URLs
- https://]guckevichrealestate.com/6b69c38e-f05d-5798-a03a-5e60ac60c6a9/dst6
- https://linkedwn.it.com
- https://ookinago.com/dondon.txt
- https://ookinago.com/manera.txt
SHA256
- ab9541ada727b4092775a220c9f32ebb0d3c096a5c7f807d3b666c94a5e25d88
