Взлом сайта румынской ассоциации скотоводов привел к распространению стилера Phemedrone через многоступенчатую цепочку заражения

Кампания начинается с социальной инженерии. Жертва получает файл JavaScript с именем, имитирующим венгерский заказ на покупку: Rendelés_aqualing_2026_22445146200001.js. В имени упоминается "aqualing" - вероятно, подставная венгерская компания, призванная вызвать доверие. Этот дроппер (вредоносный загрузчик) загружает с сервера ассоциации зашифрованный скрипт PowerShell. Сервер, расположенный по адресу acbcr[.]ro, работает под управлением WordPress и демонстрирует признаки слабой защиты: включен просмотр содержимого каталогов, а через стандартный API можно узнать имя администратора admin_acbcr. Злоумышленники разместили полезную нагрузку по пути */wp-content/update.ps1*, маскируя её под легитимный файл обновления.

Скачанный файл размером 3,4 мегабайта зашифрован алгоритмом AES-256-CBC. Ключ и вектор инициализации жёстко прописаны в JavaScript-дроппере. После расшифровки получается скрипт PowerShell, внутри которого дополнительно применяется XOR-шифрование с ключом vkSecretKey765. Такая двухслойная защита характерна для современных цепочек загрузчиков: первый слой обходит проверки сетевого трафика, второй требует исполнения в определённом контексте. В результате PowerShell рефлексивно загружает сборку .NET - библиотеку ALTERNATE.dll.

Именно эта библиотека представляет наибольший интерес. Её единственная функция - внедрение кода в легитимный процесс. ALTERNATE.dll запускает в приостановленном состоянии утилиту aspnet_compiler.exe (подписанный компонент .NET Framework), замещает её память и передаёт управление финальной полезной нагрузке. Использование aspnet_compiler.exe неслучайно: эта программа есть на большинстве систем с .NET и реже вызывает подозрения у систем обнаружения, чем более известные "живые" утилиты. В отладочных символах библиотеки обнаружен путь: C:\Users\VICTOR\Documents\CryptoObfuscator_Output\ALTERNATE.pdb. Имя пользователя VICTOR и путь к папке CryptoObfuscator - ключевые улики.

Финальной стадией становится запуск стилера (программы для кражи данных) Phemedrone. Этот инструмент размером около 750 килобайт упакован с помощью Costura/Fody, что объединяет все зависимости в один файл. Во время работы он маскируется под системный процесс *svchost.exe*. Phemedrone ориентирован на кражу учётных данных из браузеров, криптовалютных кошельков, токенов Discord и Telegram, а также аккаунтов Steam. Внутри кода обнаружена строка-идентификатор *~draGon~*, которая может служить меткой оператора или кампании.

Исследователи обнаружили поразительное совпадение: точно такая же библиотека ALTERNATE.dll с идентичным PDB-путём использовалась в апрельской кампании, распространявшей другой стилер - Formbook. Тогда приманкой служили итальянские документы на отгрузку, а полезная нагрузка размещалась на публичном файлообменнике catbox[.]moe. Различаются языки приманок (венгерский и итальянский), способы хостинга (взломанный сайт против облачного хранилища) и финальные стилеры, но инжектор (библиотека для внедрения кода) абсолютно одинаков.

Такая картина указывает на две возможные модели. Либо разработчик под псевдонимом VICTOR создаёт и продаёт инструмент ALTERNATE.dll как услугу (Loader-as-a-Service), и разные преступные группы покупают его для своих кампаний. Либо один и тот же оператор проводит атаки в разных регионах, используя разные стилеры для разных целей. В любом случае PDB-путь C:\Users\VICTOR\Documents\CryptoObfuscator_Output\ALTERNATE.pdb становится надёжным индикатором для обнаружения будущих угроз.

Сам взломанный сайт румынской ассоциации продолжает нести риски. Включённый просмотр каталогов и открытый API для перечисления пользователей облегчают злоумышленникам поиск целей. Владельцам сайта необходимо срочно закрыть эти уязвимости, сменить пароли и проверить целостность файлов WordPress. Для специалистов по информационной безопасности эта атака служит напоминанием: многоступенчатые цепочки с использованием шифрования и маскировки под легитимные компоненты становятся стандартом, а отслеживание артефактов разработчика (таких как PDB-пути) позволяет связывать разрозненные инциденты и выявлять общую инфраструктуру злоумышленников.

IPv4

• 188.241.74.68

Domains

• acbcr.ro

SHA256

• c023166a028773efc229e5d4a052fd768d356f7674bc57de91169b9c47bcae55
• c8a0077a21f2ba22ec5a6d956b012b794c8b5a70e5ccd05adcff786020850791
• c916f289ff9a05d74d72f28582ff03690d415fe64a4195b4f47195fe286c6d2d