В мире информационной безопасности злоумышленники постоянно ищут новые пути для обхода защитных систем, и их последние методы становятся всё более изощрёнными. Недавно обнаруженная кампания, завершающаяся установкой шпионского инструмента CastleRAT, демонстрирует тревожный тренд: переход к абсолютной невидимости на всех этапах заражения. Эта атака представляет собой значительную веху в эволюции киберугроз, став первым задокументированным случаем, когда злоумышленники злоупотребили средой выполнения Deno в качестве вредоносного фреймворка. Однако финальная полезная нагрузка - лишь вершина айсберга; настоящую опасность представляет беспрецедентный уровень маскировки, делающий цепочку заражения почти неуловимой для традиционных антивирусных решений.
Описание
Атака начинается не с технической уязвимости, а с целевой атаки на человеческий фактор, используя метод социальной инженерии, известный как ClickFix. Жертва попадает на скомпрометированную веб-страницу, где видит поддельное сообщение об ошибке браузера или проверку CAPTCHA. Для «исправления» проблемы пользователю предлагается вручную скопировать и выполнить команду в терминале Windows или диалоговом окне «Выполнить». Этот простой шаг обходит веб-фильтры безопасности, так как пользователь добровольно становится инициатором процесса, запуская загрузку начального вредоносного установщика.
После получения первоначального доступа злоумышленники применяют новаторскую тактику «существования за счёт земли» (Living off the Land), используя легитимные инструменты. Впервые для этих целей была выбрана среда выполнения Deno - современная платформа для выполнения кода на JavaScript и TypeScript, популярная среди разработчиков. Поскольку Deno является легальным ПО с действительной цифровой подписью, антивирусные программы обычно не рассматривают его как угрозу. Исследователи из ThreatDown Research [отметили], что злоумышленники превратили этот фреймворк в троянского коня, используя его для выполнения обфусцированного JavaScript-кода. Запускаясь внутри доверенного системного процесса, скрипт получает повышенные привилегии и полный доступ к системе, не вызывая подозрений.
Следующий этап - это мастер-класс по сокрытию данных. Код, выполняемый Deno, загружает портативную среду Python (хитро переименованную для маскировки) и, казалось бы, безобидный файл изображения CFBAT.jpg в формате JPEG. На самом деле, этот файл содержит зашифрованный финальный вредоносный код. Высокообфусцированный скрипт на Python, защищённый утилитой PyArmor, считывает изображение, декодирует его и внедряет вредоносную программу напрямую в память, используя технику рефлексивной загрузки исполняемого файла (Reflective PE Loading). Ключевой момент: вредоносное ПО никогда не сохраняется на жёсткий диск в виде исполняемого файла (.exe). Оно полностью декодируется и запускается в оперативной памяти, что делает бесполезными традиционные антивирусные движки, сканирующие файлы на диске.
После успешной резидентной загрузки в память CastleRAT устанавливает полный контроль над целевой машиной. Маскируясь под легитимные процессы, этот инструмент обладает широким спектром разрушительных возможностей, реализованных через злоупотребление низкоуровневыми Windows API. Он проводит сбор отпечатка системы и устанавливает связь с командным сервером (C2), отправляя данные об имени компьютера, пользователе и IP-адресе. Для шпионажа программа перехватывает все нажатия клавиш, внедряясь в операционную систему через API SetWindowsHookEx(), и записывает их в скрытые файлы. Отдельные потоки непрерывно мониторят буфер обмена для кражи паролей и криптоадресов, а также могут симулировать действия вставки для утечки данных.
Цифровая идентичность жертвы становится главной целью: CastleRAT извлекает файлы cookies, историю браузера, сохранённые учётные данные, данные расширений и файлы криптокошельков. Он также охотится за токенами сессий таких приложений, как Telegram Desktop и Discord, и ключами SSH разработчиков. Для дополнительного социального инжиниринга программа может вызывать диалоговое окно «Выполнить», побуждая пользователя ввести команды или пароли. Наиболее инвазивные функции включают скрытую инициализацию веб-камер и микрофонов через Windows Media API для аудио- и видеонаблюдения. Для обеспечения постоянного доступа CastleRAT предоставляет интерактивную бэкдор-оболочку через анонимные каналы межпроцессного взаимодействия (IPC), а для закрепления в системе создаёт скрытую задачу в Планировщике заданий Windows, которая гарантирует повторный запуск всего цикла после перезагрузки.
Кампания CastleRAT - это наглядное доказательство того, как вредоносное ПО эволюционирует в сторону полной невидимости. Став первыми, кто успешно приспособил фреймворк Deno для злонамеренных целей, эти злоумышленники показали, что полагаться исключительно на анализ файлов, записанных на диск, уже недостаточно. Защита от подобных продвинутых угроз требует поведенческого мониторинга на конечных точках. Современные платформы класса EDR (системы обнаружения и реагирования на конечных точках) способны выявлять подобные аномалии, например, попытки экземпляра Deno выполнить инъекцию кода в память, и блокировать вредоносные действия на разных этапах цепочки выполнения, разрывая соединение с командными серверами до того, как данные будут похищены. Для специалистов по безопасности этот случай служит напоминанием о критической важности многоуровневой защиты, сочетающей контроль привилегий, анализ поведения процессов и постоянное обучение пользователей для противодействия социальной инженерии.
Индикаторы компрометации
IPv4
- 172.86.123.222
- 23.94.145.120
Domains
- dsennbuappec.zhivachkapro.com
- serialmenot.com
SHA256
- a4787a42070994b7f1222025828faf9b153710bb730e58da710728e148282e28
- bd8203ab88983bc081545ff325f39e9c5cd5eb6a99d04ae2a6cf862535c9829a
