Пользователи, ищущие в интернете легитимное программное обеспечение для восстановления данных, всё чаще становятся жертвами изощрённых кампаний SEO-отравления. Последняя выявленная схема нацелена на популярную утилиту TestDisk и её компонент PhotoRec. Вместо ожидаемого инструмента для спасения информации жертвы получают троянца удалённого доступа, который закрепляется в системе с помощью сложных методов, включая подмену библиотек и установку вредоносных служб. Этот инцидент наглядно демонстрирует, как злоумышленники эксплуатируют доверие к известным открытым проектам и уязвимости в самом процессе поиска решений.
Описание
Атака начинается с того, что пользователь, нуждающийся в восстановлении потерянных файлов, вводит в поисковую систему запрос "TestDisk". В результатах выдачи, благодаря SEO-отравлению, может оказаться сайт с адресом, имитирующим официальный ресурс. В данном случае это был "testdisk[.]dev". Посетив его, жертва попадает на страницу загрузки, где вредоносный JavaScript-код динамически генерирует уникальные, одноразовые ссылки. Эти ссылки ведут на подконтрольные злоумышленникам домены динамического DNS, что затрудняет блокировку. Пользователю предлагается скачать архив, якобы содержащий установщик PhotoRec - ещё одного известного инструмента от разработчиков TestDisk.
На самом деле, внутри архива находится переименованный легитимный установочный файл от Microsoft, например, "testdisk-7.3.exe". При его запуске, что кажется логичным шагом для установки нужного софта, происходит ключевой этап атаки. Этот доверенный исполняемый файл Microsoft, работающий с повышенными привилегиями, ищет и загружает библиотеки DLL для своей работы. Злоумышленники помещают в скрытую папку "Sources\" внутри распакованного архива специально с crafted вредоносную DLL с именем "autorun.dll". Процесс подмены библиотек (DLL side-loading) позволяет выполнить вредоносный код под прикрытием цифровой подписи и репутации Microsoft.
После успешной загрузки вредоносная библиотека запускает встроенную полезную нагрузку в формате MSI с помощью системной утилиты "msiexec.exe", причём делает это в контексте учётной записи SYSTEM, что предоставляет максимальные права в операционной системе. Этот этап обеспечивает закрепление в системе. Вредоносная программа маскируется под распространяемые компоненты Visual C++, что является распространённой тактикой для снижения подозрений. Исследователи обнаружили, что MSI-пакет регистрирует в системе несколько механизмов для обеспечения устойчивости и сбора данных. Среди них - троянизированный клиент удалённого управления ScreenConnect, вредоносная служба Windows, пакеты аутентификации LSA и даже специальный поставщик учётных данных, предназначенный для перехвата паролей пользователей.
Финальной целью всей цепочки является установление контроля над компьютером жертвы. Троянизированный клиент ScreenConnect подключается к командному серверу злоумышленников, в данном случае это был домен "directdownload[.]icu" на порту 8041, соответствующий IP-адресу 193.42.11[.]108. После установления соединения атакующие получают полный удалённый доступ к системе, что открывает возможности для кражи конфиденциальных данных, установки дополнительного вредоносного ПО, шпионажа или использования компьютера в качестве плацдарма для атак внутри корпоративной сети.
Данная кампания представляет значительную угрозу как для обычных пользователей, так и для ИТ-специалистов, которые могут искать утилиты для экстренного восстановления данных на рабочих станциях. Её опасность заключается в сочетании социальной инженерии, когда эксплуатируется авторитет известного открытого ПО, и технически продвинутых методов исполнения и закрепления. Использование легитимных, подписанных бинарных файлов Microsoft для подмены библиотек позволяет атаке обходить многие традиционные средства защиты, основанные на репутации и сигнатурах. Кроме того, применение легального инструмента удалённого администрирования ScreenConnect в зловредных целях осложняет его обнаружение, так как его сетевой трафик может выглядеть как законная административная активность.
Подобные инциденты служат жёстким напоминанием о необходимости соблюдения базовых правил кибергигиены при загрузке программного обеспечения. Специалистам по информационной безопасности стоит обратить внимание на мониторинг нестандартных процессов загрузки библиотек, особенно из временных или неожиданных каталогов, а также на сетевые соединения, исходящие от процессов, маскирующихся под системные или легитимные распространяемые пакеты. В конечном счёте, ключевой защитой от подобных атак остаётся загрузка софта исключительно с официальных сайтов разработчиков, проверка цифровых подписей и использование комплексных решений безопасности, способных анализировать поведение процессов, а не полагаться только на статические индикаторы компрометации.
Индикаторы компрометации
IPv4
- 193.42.11.108
Domains
- direct-download.gleeze.com
- directdownload.icu
- testdisk.dev
URLs
- https://www.testdisk.dev/download.html
SHA256
- 1b2555b09ac62164638f47c8272beb6b0f97186e37d3a54cb84c723ff7a2eee5
