Злоумышленники маскируют вредоносные программы под среду разработки C++ и используют блокчейн-смарт-контракты для управления серверами

Цепочка заражения начинается с обычного поискового запроса в интернете. Пользователь ищет бесплатную среду для работы с C++ и переходит на сайт, который действительно предлагает открытое программное обеспечение. Однако вместо немедленного скачивания сайт загружает внешний JavaScript-код, размещённый на серверах Amazon CloudFront. Этот код не является простым счётчиком посещений. Анализ показал, что он содержит функции для снятия цифрового отпечатка браузера (browser fingerprinting), сбора телеметрии о кликах и движениях мыши, а также вставку скрытых фреймов (если что-то пошло не так). Кроме того, в скрипте обнаружены флаги с названиями IS_POP_PRODUCT и IS_FAKE_PLAYER_PRODUCT, что указывает на классификацию трафика и перехват взаимодействия пользователя.

Именно этот JavaScript инициирует перенаправление жертвы. После того как человек нажимает на кнопку скачивания или переходит по ссылке, скрипт передаёт его через промежуточные домены (например, oundhertobeconsist[.]org) на фишинговую страницу, которая имитирует интерфейс MEGA Transfer - популярного сервиса для обмена файлами. При повторных обращениях страница генерирует разные пароли и содержимое архивов, что говорит о динамической генерации контента и профилировании посетителей. Ключевое отличие этой атаки от обычного SEO-отравления состоит в том, что пользователь изначально попадает на настоящий, легитимный ресурс. Вредоносное перенаправление происходит только после его активного взаимодействия со страницей, что делает обнаружение такой схемы гораздо сложнее.

Специалисты по кибербезопасности сообщили детали технической реализации. На фишинговой странице жертве предлагается скачать архив, защищённый паролем. Внутри архива находится исполняемый файл, написанный на Go и обфусцированный с помощью инструмента Garble. Обфускация - это метод запутывания кода, который затрудняет его анализ антивирусами и исследователями. Загрузчик проходит через пять этапов расшифровки, после чего в память процесса отражается основная вредоносная нагрузка - программа-стилер RemusStealer.

При запуске RemusStealer сначала связывается с вспомогательным сервером shivlpf[.]shop, но для получения основного командного центра (C2) он использует технологию под названием Ethereum Dead Drop Resolver. Суть в том, что вредоносная программа обращается к публичному RPC-интерфейсу блокчейна Ethereum (в данном случае eth[.]llamarpc[.]com) и читает данные из конкретного смарт-контракта с адресом 0x999941b74F6bbc921D5174A5b29911562cd2D7CF. В этом контракте хранится зашифрованный URL реального управляющего сервера. Такой подход позволяет злоумышленникам менять адрес C2 без обновления самого вредоносного файла - достаточно лишь изменить запись в блокчейне, что практически невозможно заблокировать традиционными методами.

Дополнительный анализ инфраструктуры выявил пересечения с другими известными угрозами. Например, на тех же серверах или в схожих конфигурациях ранее обнаруживались упоминания Cobalt Strike (инструмента для тестирования на проникновение, часто используемого хакерами), вредоносных программ Emotet и HijackLoader. Однако, по словам экспертов, эти совпадения скорее свидетельствуют о том, что инфраструктура используется в более широкой экосистеме киберпреступников, а не о принадлежности к одной конкретной кампании.

Последствия такой атаки могут быть крайне серьёзными. Программа RemusStealer ориентирована на кражу учётных данных, файлов cookie, паролей из браузеров и другой конфиденциальной информации. Разработчики, которые часто имеют доступ к репозиториям кода, внутренним системам компании и промышленным данным, становятся особенно привлекательной целью. Утрата таких сведений может привести к компрометации целых проектов, утечкам исходного кода или даже к атакам на цепочки поставок.

Важно подчеркнуть, что данная атака отличается от привычных схем заражения через рекламу или поддельные сайты. Злоумышленники не подменяют поисковые результаты, а внедряют вредоносный JavaScript на уже существующий легитимный ресурс. Пока неясно, как именно им удалось разместить код на сайте - возможно, через уязвимость в системе управления контентом или через компрометацию одного из сторонних разработчиков. Тем не менее сам факт того, что жертва сначала попадает на доверенный ресурс, резко снижает её бдительность.

Для защиты от подобных угроз специалисты рекомендуют обращать внимание на любые неожиданные перенаправления, особенно если страница просит ввести пароль для доступа к архиву, а также проверять подлинность загружаемых файлов через цифровые подписи или контрольные суммы. Кроме того, использование современных антивирусных решений с поведенческим анализом и блокировкой скриптов на уровне браузера может помочь выявить аномальную активность JavaScript до того, как произойдёт загрузка вредоносной нагрузки.

Развитие технологий скрытого перенаправления и применение блокчейна для управления серверами управления - тревожный тренд. Такие методы делают атаки более живучими и сложными для отслеживания. Специалистам по информационной безопасности необходимо учитывать возможность использования смарт-контрактов в качестве резолверов при анализе трафика и поиске индикаторов компрометации. Кампания остаётся активной, и пользователям, особенно работающим с открытым программным обеспечением, стоит проявлять повышенную осторожность при скачивании любых файлов, даже с привычных сайтов.

IPv4

• 104.21.72.4

Domains

• dwn.nexusriftcore9.cfd
• mascard.biz
• oundhertobeconsist.org
• pulse.cryptowavematrix6.cyou
• scroogeearthbornwyson.com
• shivlpf.shop

SHA256

• 0a6a792109809ef80ee6f93835aa26ead15ed0deabdcd56b0889fb92b62167a4