Злоумышленники атакуют Бразилию через фишинговые квитанции, используя стеганографию и злоупотребление доверенными утилитами для скрытой доставки XWorm

Стадия 1: Обманная доставка и запуск

Атака начинается с классического, но эффективного приёма, рассчитанного на бразильских пользователей. Вредоносный файл маскируется под банковскую квитанцию, например, «Comprovante-Bradesco…». Используя трюк с двойным расширением (.pdf.js), файл выглядит как документ, но на самом деле является скриптом для Windows Script Host, предназначенным для прямого запуска. Файл намеренно «раздут» до 1.2 МБ за счёт мусорных данных, что повышает его энтропию и может помочь обойти статические анализаторы, пропускающие крупные файлы. При открытии скрипт оказывается сильно обфусцирован с помощью инъекции юникод-символов, эмодзи и гомоглифов. Вредоносная логика восстанавливается во время выполнения простой функцией .replace(), которая удаляет шумовые разделители. После деобфускации выясняется, что это загрузчик, который конструирует команду PowerShell для скачивания следующей стадии.

Интересной деталью является способ запуска. Вместо использования шумного метода WScript.Shell.Run, скрипт задействует Windows Management Instrumentation (WMI, инструментарий управления Windows), что позволяет запустить процесс PowerShell в скрытом окне. Также добавлена пятисекундная задержка, вероятно, для обхода эвристик песочниц, ожидающих немедленной вредоносной активности.

Стадия 2: Мост через PowerShell, стеганография и облачная инфраструктура

Расшифрованная команда PowerShell служит скрытым мостом. Она выполняет три задачи: загружает замаскированный ресурс, извлекает из него файловый загрузчик следующей стадии и подготавливает конфигурацию для финального заражения. Для обхода фильтров репутации доменов скрипт обращается к URL, размещённому на популярном сервисе хостинга изображений Cloudinary, имитируя запрос легитимного браузера.

Загружаемый файл, имеющий расширение .jpg, содержит скрытую полезную нагрузку. Скрипт не сохраняет изображение на диск, а читает поток данных в памяти, ищет маркеры BaseStart- и -BaseEnd и извлекает между ними данные, закодированные в Base64. Это сборка .NET, которая загружается непосредственно в память с помощью [Reflection.Assembly]::Load(), минуя жесткий диск. Этот «безфайловый» метод уклоняется от традиционного антивирусного сканирования.

Перед вызовом загруженной сборки PowerShell подготавливает строку аргументов, которая после декодирования содержит параметры для следующих стадий. Ключевой аргумент - это строка, которая при обратном порядке символов и декодировании из Base64 раскрывает URL финальной полезной нагрузки XWorm. Другие аргументы указывают цель для внедрения кода - утилиту CasPol.exe - и пути установки.

Стадия 3: Специализированный модуль скрытого закрепления в системе

Полезная нагрузка, извлечённая из изображения, оказывается не самим XWorm, а специализированной библиотекой DLL на VB.NET, чья единственная цель - обеспечить выживание инфекции после перезагрузки. Вместо шумного создания процесса планировщика задач через schtasks.exe, модуль использует управляемую обёртку планировщика задач .NET, взаимодействуя с ним напрямую через COM-интерфейсы. Это не оставляет артефактов в виде командной строки, что затрудняет обнаружение для систем защиты, мониторящих дочерние процессы. Созданная задача настроена на повторный запуск загрузчика PowerShell из второй стадии при каждом входе пользователя в систему, создавая петлю для восстановления доступа.

Стадия 4: Финальная нагрузка XWorm и злоупотребление доверенными бинарниками

Финальная полезная нагрузка загружается с расшифрованного URL. Несмотря на расширение .txt, её содержимое - это обратная строка Base64, которая после преобразования становится исполняемым файлом .NET, идентифицируемым как XWorm версии 5.6. Вместо запуска отдельным процессом, вредоносный код внедряется в легитимный системный бинарник CasPol.exe (Code Access Security Policy Tool). Такая техника «живи за счёт земли» (LOLBIN, Living Off the Land Binaries) помогает маскироваться под доверенную системную активность.

Статический анализ с помощью dnSpy выявил уязвимость в криптографии XWorm. Конфигурация, включая адрес сервера управления, зашифрована с помощью AES в режиме ECB, а ключ выводится из MD5-хэша строки мьютекса, которая жёстко прописана в коде. Это позволяет расшифровать конфигурацию офлайн, не запуская вредоносную программу. В данном случае был выявлен сервер управления jholycf100.ddns.com.br на порту 7000. Динамический анализ в песочнице полностью подтвердил эти данные, показав установку мьютекса и сетевые подключения от процесса CasPol.exe к указанному адресу с использованием уникального для XWorm разделителя протокола.

Деловой контекст и риски для компаний

Эта кампания представляет не просто ещё одну угрозу с XWorm, а демонстрирует, насколько надёжно подобная цепочка может достигать корпоративных рабочих станций и скрытно на них оставаться. Фиктивная квитанция - это именно та приманка, которая вписывается в рутинные финансовые и операционные процессы. А весь стек доставки создан для минимизации ранних сигналов, на которые полагаются многие команды безопасности. Последствия выходят далеко за рамки заражённого компьютера. Получив контроль над рабочей станцией, злоумышленники могут похищать учётные данные, сессии браузеров и перемещаться внутри сети, атакуя системы электронной почты, SaaS-сервисы и финансовые инструменты. Скрытное закрепление в системе даёт операторам время на разведку среды и расширение доступа, повышая вероятность горизонтального перемещения и развёртывания дополнительных вредоносных нагрузок, таких как программы-вымогатели. Задержка в обнаружении из-за низкого уровня шума увеличивает среднее время на реагирование, в то время как реальный ущерб проявляется позже, что ведёт к прямым финансовым и репутационным потерям.

Рекомендации по раннему обнаружению

Ключ к противодействию таким угрозам - быстрая, основанная на доказательствах валидация при первом подозрительном контакте и строгий мониторинг злоупотребления доверенными системными утилитами. Во-первых, необходимо усилить мониторинг с помощью актуальных тактик, техник и процедур (TTP), уделяя внимание аномальным сценариям, например, выполнению скриптов и PowerShell, которые загружают «изображения» с облачных сервисов. Во-вторых, критически важно отслеживать сетевую активность, исходящую от таких процессов, как CasPol.exe, что почти всегда является аномалией. В-третьих, внедрение поведенческого анализа, способного обнаруживать безфайловые техники загрузки в память и прямое взаимодействие с API планировщика задач, поможет выявить скрытое закрепление в системе. Наконец, регулярный проактивный поиск угроз с акцентом на региональные кампании позволяет адаптировать правила обнаружения под текущий ландшафт угроз, а не полагаться лишь на исторические глобальные данные.

Вывод

Данная кампания иллюстрирует чёткий тренд в вредоносном ПО, нацеленном на LATAM: сочетание массовых векторов доставки с доступными программами-шпионами. Хотя сама полезная нагрузка XWorm использует относительно простую криптографию, общая цепочка заражения построена для устойчивости. Комбинируя фишинговую рассылку, злоупотребление облачной инфраструктурой, стеганографию и модульное скрытое закрепление через .NET API, злоумышленники создали малошумную цепочку, способную обходить поверхностные средства защиты. Для организаций это означает, что защита должна смещаться от реактивного сканирования файлов к комплексному мониторингу поведения процессов, сетевой активности и аномального использования легитимных инструментов операционной системы.

IPv4

• 152.249.17.145

Domains

• jholycf100.ddns.com.br

URLs

• res.cloudinary.com/…/optimized_MSI_lpsd9p.jpg
• voulerlivros.com.br/arquivo_20260116064120.txt

SHA256

• 7befeacf0b3480fb675d0cab7767b5b9697edc9d0e05982025a06ead0054afd5