Отключение антивируса, полные права и забытый домен. Как обычный рекламный мусор превратился в угрозу мирового масштаба
NewsMakerВредоносный код годами жил внутри программ и просто ждал сигнала от новых хозяев.
Обычное рекламное ПО внезапно оказалось куда опаснее, чем казалось на первый взгляд. Специалисты Huntress заметили подозрительную активность, которая сначала выглядела как рядовой «мусорный» софт, но при ближайшем разборе превратилась в полноценную историю о рисках уровня цепочки поставок.
В конце марта в разных корпоративных средах начали срабатывать сигналы тревоги. Исполняемые файлы с подписью Dragon Boss Solutions LLC использовали механизм обновлений, чтобы скрытно запускать многоступенчатую атаку. Программа не просто подгружала дополнительные компоненты — она работала с правами SYSTEM и последовательно отключала антивирусы.
Анализ показал, что загрузчики распространялись ещё с конца 2024 года, однако недавно получили новую функциональность. Через стандартный механизм обновлений система доставляла MSI-пакеты и PowerShell-скрипты, закреплялась через WMI и блокировала повторную установку защитных решений. Ключевую роль играл скрипт ClockRemoval.ps1, который завершал процессы антивирусов, удалял их файлы и даже вносил изменения в hosts, чтобы перекрыть доступ к серверам обновлений.
Особое внимание привлёк сам механизм обновлений. В конфигурации обнаружился домен chromsterabrowser[.]com, который на момент исследования не был зарегистрирован. Любой желающий мог купить его за символическую сумму и получить возможность отправлять команды на заражённые машины. Фактически речь шла о готовой инфраструктуре для масштабной атаки без необходимости взлома.
Обычное рекламное ПО внезапно оказалось куда опаснее, чем казалось на первый взгляд. Специалисты Huntress заметили подозрительную активность, которая сначала выглядела как рядовой «мусорный» софт, но при ближайшем разборе превратилась в полноценную историю о рисках уровня цепочки поставок.
В конце марта в разных корпоративных средах начали срабатывать сигналы тревоги. Исполняемые файлы с подписью Dragon Boss Solutions LLC использовали механизм обновлений, чтобы скрытно запускать многоступенчатую атаку. Программа не просто подгружала дополнительные компоненты — она работала с правами SYSTEM и последовательно отключала антивирусы.
Анализ показал, что загрузчики распространялись ещё с конца 2024 года, однако недавно получили новую функциональность. Через стандартный механизм обновлений система доставляла MSI-пакеты и PowerShell-скрипты, закреплялась через WMI и блокировала повторную установку защитных решений. Ключевую роль играл скрипт ClockRemoval.ps1, который завершал процессы антивирусов, удалял их файлы и даже вносил изменения в hosts, чтобы перекрыть доступ к серверам обновлений.
Особое внимание привлёк сам механизм обновлений. В конфигурации обнаружился домен chromsterabrowser[.]com, который на момент исследования не был зарегистрирован. Любой желающий мог купить его за символическую сумму и получить возможность отправлять команды на заражённые машины. Фактически речь шла о готовой инфраструктуре для масштабной атаки без необходимости взлома.