Злоумышленники распространяют программы-вымогатели через рекламу в Facebook*, маскируясь под обновление Windows 11

Механика атаки: от рекламы до закрепления в системе

Атака начинается с профессионально оформленного рекламного объявления в Facebook*, которое использует фирменный стиль Microsoft и предлагает загрузить последнюю версию Windows 11. Для пользователей, планирующих обновить систему, такая реклама выглядит как удобный способ сделать это быстро.

Переход по ссылке ведет на сайт, который является почти точной копией официальной страницы загрузки программного обеспечения Microsoft. Злоумышленники скопировали логотип, макет, шрифты и даже юридические тексты в подвале страницы. Единственным видимым отличием является доменное имя. Вместо microsoft.com используются поддельные домены, такие как ms-25h2-download[.]pro или ms25h2-update[.]pro. Включение в название «25H2» имитирует соглашение об именовании выпусков Windows, что делает адреса правдоподобными на первый взгляд, особенно на фоне активного обсуждения версии 24H2.

Важной особенностью кампании является избирательность. Фейковая страница не пытается заразить всех посетителей. Перед тем как предложить загрузку вредоносного файла, она проводит проверку. Пользователи, подключающиеся с IP-адресов дата-центров (часто используемых исследователями безопасности и автоматическими сканерами), перенаправляются на google.com. Таким образом, вредоносная нагрузка доставляется только тем, кто выглядит как обычный домашний или офисный пользователь. Этот метод, сочетающий геотаргетинг с детектированием песочниц (sandbox), позволяет кампании долгое время оставаться незамеченной для автоматических систем защиты.

Когда целевой пользователь нажимает кнопку «Скачать», сайт активирует событие Facebook* Pixel «Lead» - тот же метод отслеживания, который используют легитимные рекламодатели для измерения конверсий. Это позволяет злоумышленникам в реальном времени оценивать эффективность своей рекламы и оптимизировать бюджет.

Вредоносная нагрузка и методы сокрытия

Если пользователь проходит проверку, начинается загрузка файла ms-update32.exe размером 75 МБ, размещенного на платформе GitHub. Использование доверенного хостинга с действующим HTTPS-сертификатом помогает обойти базовые защитные механизмы браузеров. Сам установщик собран с помощью легитимного инструмента Inno Setup, часто используемого авторами вредоносных программ для создания профессионально выглядящих пакетов.

Перед выполнением основной вредоносной логики установщик проверяет окружение на наличие признаков анализа: виртуальных машин, отладчиков и других инструментов мониторинга. При их обнаружении выполнение прерывается. Это позволяет ему уклоняться от автоматических песочниц, которые по своей природе работают в виртуальных средах.

На реальной машине пользователя устанавливается приложение на основе фреймворка Electron, которое помещается в директорию C:\Users\\<USER>\\AppData\Roaming\LunarApplication\\. Выбор имени «Lunar» не случаен, так как оно ассоциируется с криптовалютными инструментами. Приложение включает библиотеки Node.js для создания ZIP-архивов, что указывает на его предназначение - сбор, упаковку и отправку данных. Параллельно в папку %TEMP% записываются и выполняются два обфусцированных скрипта PowerShell со случайными именами файлов. Для их запуска используется команда, отключающая политику выполнения скриптов Windows (-ExecutionPolicy Unrestricted), что является тревожным индикатором.

Для обеспечения постоянства (persistence) в системе вредоносная программа записывает большой бинарный объект в реестр Windows по пути HKEY_LOCAL_MACHINE\SYSTEM\Software\Microsoft\TIP\AggregateResults. Использование легитимного пути, связанного с компонентом обработки текстового ввода (Text Input Processor), помогает избежать подозрений. Анализ телеметрии также показывает поведение, характерное для внедрения в процессы: вредоносное ПО создает процессы Windows в приостановленном состоянии, внедряет в них код и возобновляет выполнение, маскируясь под легитимную активность.

После установки закрепления временные файлы удаляются для затруднения анализа. Для дополнительного усложнения исследования программа может инициировать перезагрузку системы. Использование нескольких методов шифрования и обфускации, включая RC4, HC-128, XOR-кодирование и хеширование FNV для разрешения API, значительно усложняет статический анализ кода.

Контекст и рекомендации по защите

Использование платной рекламы в Facebook* для распространения вредоносного ПО представляет собой значительную эскалацию тактик злоумышленников. В отличие от фишинговых писем, такие объявления интегрированы в доверенную социальную среду пользователя. В данной кампании операторы запустили две параллельные рекламные кампании, указывающие на разные фишинговые домены, что обеспечивает избыточность и устойчивость: если один домен или рекламный аккаунт блокируется, второй продолжает работу.

Главный вывод для пользователей заключается в том, что обновления Windows всегда поступают исключительно через встроенную службу Windows Update в параметрах системы. Корпорация Microsoft не рекламирует обновления ОС через рекламные объявления в социальных сетях.

Для специалистов по информационной безопасности и ИТ-администраторов критически важно принять ряд мер.

• Необходимо заблокировать указанные фишинговые домены на уровне DNS и веб-прокси.
• Следует настроить оповещения о выполнении команд PowerShell с параметром -ExecutionPolicy Unrestricted в неадминистративном контексте. В-третьих, необходимо проводить активный поиск в системе на наличие директории LunarApplication и случайных файлов с расширениями, похожими на .yiz.ps1 или .unx.ps1, в папке %TEMP%.

Если есть подозрение, что система была скомпрометирована, необходимо действовать быстро. Не следует входить в какие-либо учетные записи с этого компьютера до его полной проверки и очистки. Рекомендуется немедленно выполнить полное сканирование системы с помощью антивирусных решений, способных детектировать подобные угрозы. Пароли от важных учетных записей (почта, банки, соцсети) необходимо сменить с другого, чистого устройства. Если на зараженном компьютере использовались криптовалютные кошельки, средства следует перевести на новый кошелек с новой сид-фразой, сгенерированной на безопасном устройстве. В случае хранения на устройстве финансовых данных также целесообразно предупредить банк и включить мониторинг мошеннических операций.

Данная кампания демонстрирует высокий уровень технической подготовки и операционной осведомленности злоумышленников, которые эффективно используют социальную инженерию и обходные методы для достижения своих целей.

* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.

Domains

• ms25h2-download.pro
• ms-25h2-download.pro
• ms25h2-update.pro
• ms-25h2-update.pro

SHA256

• c634838f255e0a691f8be3eab45f2015f7f3572fba2124142cf9fe1d227416aa

URLs

• raw.githubusercontent.com/preconfigured/dl/refs/heads/main/ms-update32.exe

Facebook* рекламная инфраструктура

• Pixel ID: 1483936789828513
• Pixel ID: 955896793066177
• Campaign ID: 52530946232510
• Campaign ID: 6984509026382