В сфере информационной безопасности наблюдается тревожная тенденция: злоумышленники всё чаще атакуют пользователей, умело маскируя вредоносную активность под легитимные процессы операционной системы. Недавно обнаруженная кампания, условно названная DualScript, является ярким примером такой тактики. Она представляет собой сложную многоступенчатую атаку, нацеленную на кражу криптовалюты и сбор финансовых данных. В основе её работы лежит злоупотребление стандартными компонентами Windows - планировщиком заданий, VBScript и PowerShell, что позволяет вредоносной программе долгое время оставаться незамеченной.
Описание
Атака начинается с закрепления в системе через создание заданий в планировщике Windows. Эти задачи настроены на автоматический запуск VBS-скриптов из пользовательских директорий, что само по себе не вызывает подозрений у многих систем мониторинга. Однако эти скрипты служат лишь точкой входа, тихо запуская PowerShell с обходом политики выполнения. Таким образом, злоумышленники создают надёжный механизм повторного запуска своей цепочки, избегая традиционных методов автозапуска через реестр, за которыми следят средства защиты.
Особенностью DualScript является наличие двух параллельных цепочек выполнения, что повышает живучесть вредоносной программы и расширяет её функционал. Первая цепочка функционирует как веб-бэкдор. PowerShell-скрипт с маскировочным именем, например, "ppamproServiceZuneWAL.ps1", загружает с удалённого сервера текстовый файл "Wallet.txt". Содержимое этого файла, представляющее собой инструкции на PowerShell, выполняется непосредственно в памяти без сохранения на диск, используя метод "[ScriptBlock]::Create().Invoke()". Этот механизм превращает заражённую систему в управляемый имплант, позволяя атакующему удалённо обновлять команды, выполнять разведку или похищать данные простым редактированием файла на своём сервере.
В данном случае полезная нагрузка оказалась специализированным скриптом для подмены буфера обмена. Программа непрерывно отслеживает скопированный текст, используя регулярные выражения для выявления адресов криптовалютных кошельков. При обнаружении совпадения с одним из десятков поддерживаемых форматов - включая Bitcoin, Ethereum, Monero и другие - адрес жертвы незаметно подменяется на адрес, контролируемый злоумышленником. В результате, если пользователь копирует корректный адрес для перевода средств, платеж перенаправляется атакующему. Специалисты по безопасности отметили, что в словаре подмены содержатся адреса для более чем 30 различных криптовалют, что указывает на тщательную подготовку и широкий охват кампании.
Вторая цепочка атаки использует аналогичный метод запуска через VBScript, но развёртывает более сложную угрозу - трояна удалённого доступа RetroRAT. Его полезная нагрузка также исполняется в памяти, что минимизирует артефакты на диске. RetroRAT представляет собой финансово мотивированный RAT, ориентированный на отслеживание банковской активности и операций с криптовалютой. Он устанавливает перехватчик нажатий клавиш и постоянно анализирует заголовки активных окон, сверяя их с обширным списком ключевых слов. Этот список включает в себя 47 платформ для работы с криптовалютой, таких как Coinbase и Binance, а также 51 ключевое слово, связанное с американскими банками и платёжными системами, включая Bank of America, Chase и PayPal.
При обнаружении совпадения с финансовым сервисом троянец начинает записывать все последующие нажатия клавиш в сессии, собирая потенциально конфиденциальные данные: логины, пароли, номера счетов. Собранная информация сохраняется в локальные файлы и периодически передаётся на серверы управления, адреса которых жёстко прописаны в коде. Для установления соединения RetroRAT выполняет проверку рукопожатия, отправляя строку-идентификатор и ожидая в ответ определённую фразу, что усложняет анализ его сетевой активности. Кроме сбора данных, троянец обладает полным набором функций RAT: удалённым управлением рабочим столом, манипуляциями с файловой системой, выполнением команд и контролем над системой.
Для противодействия анализу и средствам защиты образец использует ряд классических, но эффективных техник. Он проверяет имя пользователя системы на соответствие списку типовых имён, используемых в песочницах, таких как "John Doe" или "virus". Также выполняется детектирование виртуальных машин по наличию связанных драйверов и служб. Код вредоносной программы подвергся агрессивному обфускации: имена методов и классов были заменены, а значимые строки хранятся в закодированном виде и восстанавливаются только во время выполнения, что сильно затрудняет статический анализ.
Кампания DualScript наглядно демонстрирует эволюцию угроз, сочетающих в себе финансовую мотивацию с изощрёнными техниками уклонения от обнаружения. Атакующие успешно используют доверие к встроенным инструментам администрирования Windows, чтобы создать стойкое и опасное вредоносное ПО. Для защиты от подобных атак специалистам по информационной безопасности необходимо уделять повышенное внимание мониторингу активности PowerShell, особенно с флагами обхода политик, анализировать необычные задания планировщика, запускаемые из пользовательских каталогов, и внедрять решения, способные детектировать аномальное поведение и выполнение кода в памяти, выходящие за рамки сигнатурного анализа.
Индикаторы компрометации
Domains
- floatsdk.1cooldns.com
- info.1cooldns.com
- thewpiratebay.st
MD5
- 163c38bd7ff7dd27e88eaef1a7a4819f
- 173b27e7541427929da72ebf37c6db8e
- 1dc82fd02a0db3e338128b6f587d7122
- 243af69d85550232da45f5a30703a4a3
- 43cac07a501e7a717023e0fa8f6111e0
- 7546ada1e3144371724db209ba4c5f37
