Команда безопасности Field Effect (SOC) обнаружила инцидент, связанный с новой тенденцией в киберугрозах: использованием вредоносной рекламы для распространения взломанных административных утилит. В данном случае специалисты предотвратили компрометацию после попытки сотрудника загрузить якобы легальную версию RVTools - популярного инструмента для работы с VMware.
Описание
Вместо оригинала пользователь получил модифицированную версию, зараженную ThunderShell — PowerShell-утилитой для удаленного доступа (RAT), которую применяют как этичные хакеры, так и злоумышленники. В злонамеренных атаках её также называют бэкдором SmokedHam.
Как работала схема?
Зловредная реклама появлялась первой в результатах поиска Google по запросу «RV Tools» и вела на сайт https[:]//www.rv-tool.net, имитирующий официальный ресурс. Там размещалось описание RVTools с утверждением, что утилиту скачали уже 2 млн раз. Кнопка загрузки перенаправляла на Dropbox, откуда пользователь получал файл RV-Tools-4.6.1.exe - троянизированную версию программы.
Примечательно, что на момент обнаружения ни один антивирус в VirusTotal не помечал URL как опасный, что повышало шансы успешной атаки.
Масштаб кампании
Хотя оригинальное объявление уже удалено, эксперты Field Effect выявили серию аналогичных рекламных ссылок, ведущих на тот же вредоносный сайт. Каждое объявление было зарегистрировано под разными аккаунтами рекламодателей, но все указывали на Великобританию как местонахождение. Похоже, злоумышленники создавали одноразовые аккаунты для кратковременных кампаний.
Как работает вредоносная нагрузка?
После запуска поддельного RVTools на компьютер загружается легальная версия программы, но параллельно устанавливается переименованный файл pythonw.exe (unicodedata.exe), который запускает Python-скрипты app-get-process.py или web-get-process.py. Они, в свою очередь, расшифровывают и выполняют PowerShell-скрипт, загружающий агент ThunderShell.
Этот инструмент, изначально созданный для тестирования безопасности, позволяет злоумышленникам удалённо управлять системой: изменять задержки между командами, выполнять произвольные PowerShell-скрипты и скрытно перемещаться по сети.
Пока рекламные платформы остаются уязвимыми для таких атак, критически важно соблюдать осторожность: скачивать ПО только с доверенных источников и ограничивать загрузку непроверенных файлов. Компаниям также рекомендуется обучать сотрудников распознаванию подобных угроз.
Индикаторы компрометации
Domains
- elitetools.link
- rv-tool.net
- server-software.azureedge.net
- server-web.sasex59966.workers.dev
- tool-rv.com
- web-app.larij21770.workers.dev
URLs
- dropbox.com/slc/fi/vfv7hlfka191j5yu12jfj/RV-Tools-4.6.1.exe?rlkey=sioe6m2hckxc2iu3ewqo116dv&st=e63fzhhq&dl=1
SHA256
- 099365fbba7e9d0df00308dc2ebade983cf0858cd829dde443a3638df771a57d
- 89acf605d93b6525fdbf8015447297ee75d5708382482e881f312380b852f772
- d6cc4a2f20f13ea0c9507d3ad8d549b5c5073a734ceea453405dcf26ac512abf
