Замаскированный под картинки: новый вариант программы-вымогателя Formbook использует сложную многоэтапную атаку на Windows

Инцидент начался с рассылки фишинговых писем, содержащих архив с файлом "cbmjlzan.JS". Несмотря на то, что на момент обнаружения файл определялся как вредоносный лишь 15 антивирусными движками на VirusTotal, его анализ выявил сложную цепочку атаки. Скрипт, написанный на JavaScript для Windows (WSH), использует устаревшие, но всё ещё поддерживаемые технологии, такие как "ActiveXObject" и "ADODB.Stream", для работы с файловой системой. После запуска он копирует себя в публичную директорию "C:\Users\Public\Libraries\" и создаёт запланированную задачу ("scheduled task") для своего повторного запуска каждые 15 минут, обеспечивая устойчивость в системе. Этот приём, известный как закрепление, позволяет вредоносной программе пережить перезагрузку компьютера.

Следующим этапом атаки становится исполнение скрипта PowerShell, который активируется после установки закрепления. Его ключевая задача - обработка трёх файлов, сброшенных в папку "C:\Users\Public": "Brio.png", "Orio.png" и "Xrio.png". Несмотря на расширение, эти файлы не являются изображениями, а содержат зашифрованные данные и код. Первым делом PowerShell-скрипт расшифровывает содержимое файла "Xrio.png" с использованием алгоритма AES в режиме CBC. Данные внутри представляют собой набор команд, главная цель которых - применение техник уклонения от систем мониторинга. Как уточнили исследователи, расшифрованный код патчит критические функции Windows, отвечающие за отслеживание событий и проверку скриптов на вредоносность: "EtwEventWrite()" и "AmsiScanBuffer()". Отключение этих механизмов позволяет злоумышленникам скрыть последующую активность от систем защиты, основанных на поведенческом анализе, таких как EDR-решения (Endpoint Detection and Response).

После нейтрализации систем защиты скрипт приступает к обработке файла "Orio.png". Используя тот же ключ и метод шифрования AES, он извлекает из него исполняемый модуль - библиотеку DLL, написанную на .NET. Этот компонент затем внедряется в легитимный системный процесс "MSBuild.exe", который является частью инструментов сборки Microsoft. Использование доверенного процесса для размещения вредоносного кода - распространённая тактика, направленная на обход списков разрешённых приложений и снижение подозрительности активности в глазах администраторов и средств безопасности. Наконец, внедрённая DLL обращается к третьему файлу, "Brio.png", чтобы загрузить финальную полезную нагрузку. Ею, согласно анализу хеша, оказалась очередная версия программы-вымогателя Formbook - семейства вредоносного ПО, известного своими функциями кражи данных, сбора нажатий клавиш и скриншотов с заражённых систем.

Данный инцидент наглядно демонстрирует эволюцию тактик киберпреступников. Вместо прямого запуска одного вредоносного исполняемого файла, атака построена на цепочке взаимосвязанных скриптов и компонентов, каждый из которых выполняет узкую задачу: обеспечение устойчивости, обход защитных механизмов, скрытное внедрение. Маскировка под безобидные файлы изображений и использование стандартных системных утилит вроде PowerShell и MSBuild значительно усложняют детектирование. Для специалистов по безопасности этот случай служит напоминанием о критической важности многоуровневой защиты, которая включает не только сигнатурный анализ, но и контроль за запуском скриптов, мониторинг аномальной активности процессов (особенно таких, как MSBuild, запускающих необычные для себя нагрузки) и строгую политику ограничения использования макросов и скриптовых языков в корпоративной среде.

MD5

• 200fdf0e77bdd71f265f8bb88a2803cc
• 389428c7641bf01263d431ab9f271db1
• b76bd6b4cba5492515e98a1932b58bdc

SHA1

• 41f3a23a3aa73d0d59f964620e2ecb9fe9fa370e
• 8274b4abf6081910694e540d19c538aff5dfde97
• 9d850e69f4e47ee5b8048a0f7047726fb9948dcf

SHA256

• 53c3e0f8627917e8972a627b9e68adf9c21966428a85cb1c28f47cb21db3c12b
• a8ba9ba93b4509a86e3d7dd40fd0652c2743e32277760c5f7942b788b74c5285
• fdcfbb67d7e996e606963ac96a4a1b14e7070e1e88d210b2f567e3d40541b7b7