Отключи интернет — и антивирус ослепнет. Хакеры нашли способ обойти защиту за несколько секунд с помощью обычной команды Windows
NewsMaker«.pdf» оказался вирусом, а «.mp3» — файлом настроек.
Злоумышленники нашли простой способ спрятать заражение от защитных систем: на несколько секунд отключить интернет на компьютере жертвы. За время такого «провала» вредоносная программа успевает запустить следующий этап атаки, а часть сетевых средств защиты просто не видит происходящее.
Специалисты JUMPSEC обнаружили такую схему после фишингового письма , отправленного одному из клиентов компании. Письмо было написано на тайском языке и маскировалось под финансовый документ, связанный с оплатой. Внутри находилась картинка со ссылкой на файл, размещённый на MediaFire. Такой приём помогает письму выглядеть менее подозрительно, а вредоносный файл злоумышленники держат вне почтовой системы.
Скачанный файл пытался выдать себя за документ. Его имя заканчивалось на «.pdf.scr». В Windows расширения известных типов файлов часто скрыты, поэтому пользователь мог увидеть только «.pdf» и принять файл за обычный документ. На деле расширение «.scr» указывает на исполняемый файл заставки, который запускается так же, как программа.
Файл оказался самораспаковывающимся архивом WinRAR. Запустившись, архив извлекал несколько файлов, но большая часть содержимого служила приманкой и не участвовала в заражении. Основную роль играл сценарий VBS, который запускал следующий этап атаки.
Сценарий был замусорен лишними вызовами и фиктивным кодом, но когда его очистили, логика оказалась довольно короткой. Он собирал строку «cmd.exe» по символам, чтобы его было сложнее обнаружить статическими методами, затем выполнял команды через командную строку. Главная особенность цепочки заключалась в том, что перед тем как запустить вредоносный код, сценарий выполнял команду ipconfig /release, временно разрывая сетевое соединение, а после того как вредоносный код запустился, возвращал подключение командой ipconfig /renew.
Такой приём создаёт короткое «слепое пятно» для защитных систем, которым нужно обращаться к облачным службам репутации или передавать данные наружу. Самые подозрительные действия проходят в момент, когда компьютер уже потерял связь с сетью. Когда подключение возвращается, следующий этап вредоносной программы уже запущен.
Затем атака переходила к сценарию AutoIt . Злоумышленники использовали настоящий интерпретатор AutoIt3, но переименовали его в файл с расширением «.xls». Вредоносный сценарий был раздут до 88 МБ за счёт большого количества мусорных комментариев. Когда код очистили, размер полезного содержимого сократился примерно до 65 КБ.
Сценарий проверял среду, искал признаки того, что систему анализируют, и читал настройки из файла с расширением «.mp3». На самом деле файл содержал конфигурацию в формате INI. Среди параметров были путь, чтобы закрепиться в системе, имя раздела автозапуска WindowsUpdate и ссылка на основной вредоносный компонент.
Основной полезной нагрузкой оказался Remcos – известная программа для удалённого управления, которую злоумышленники часто используют, чтобы шпионить и красть данные. В расшифрованной конфигурации специалисты нашли адреса управляющих серверов, мьютекс Rmc-QDZ9C5, группу ботов selfish и хеш лицензии Remcos.
JUMPSEC отслеживает найденный кластер под названием BlackToad. По оценке компании, группа, вероятно, связана с более широкой нигерийской киберпреступной экосистемой, которую Unit 42 описывает под названием SilverTerrier, но использует собственную инфраструктуру, упаковщик и приманки, не совпадающие с ранее описанными подгруппами.
Управляющие домены pmitm.ddns.net, lordtoad.duckdns.org и toadshit.ddnsfree.com указывали на один и тот же IPv4-адрес 197.210.55.170 и использовали порт 50240. Домены размещались у разных служб динамических адресов, что давало злоумышленникам запасной вариант на случай, если один из доменов заблокируют.
Следы инфраструктуры также вели к нигерийским мобильным операторам MTN Nigeria и Airtel Nigeria, а часть активности проходила через «пуленепробиваемый» хостинг Pfcloud. Специалисты считают, что оператор мог запускать управляющий сервер через мобильное подключение, а не арендовать обычную серверную инфраструктуру.
Дополнительные образцы, найденные через VirusTotal, использовали ту же маскировку расширений, включая файлы IMG00090878900.pdf.scr и slip002030002002.JPG.scr. Один из них сохранял характерный префикс SLIP в имени, что указывает не на единичную атаку, а на активную кампанию против нескольких целей.
JUMPSEC связывает BlackToad с активностью, похожей на кампанию BoredFluff, которую ранее описывали в контексте атак на сотрудников гостиниц через поддельные запросы от гостей. Совпадения по инфраструктуре и тематике приманок делают такую связь вероятной, хотя BlackToad выделяется отдельной техникой, при которой сеть временно отключается, и собственным упаковщиком AutoIt.
Главная опасность кампании не в самом Remcos, который давно известен защитным командам, а в способе доставки. Команды ipconfig /release и ipconfig /renew выглядят как обычные действия для настройки сети, но в цепочке заражения помогают незаметно запустить вредоносный код в обход облачных проверок.
Организациям, которые столкнутся с похожими файлами или доменами, JUMPSEC рекомендует искать признаки работы Remcos. Такая активность может выражаться в том, что вредонос записывает нажатия клавиш, крадёт учётные данные, следит за буфером обмена и выводит файлы из системы.
Злоумышленники нашли простой способ спрятать заражение от защитных систем: на несколько секунд отключить интернет на компьютере жертвы. За время такого «провала» вредоносная программа успевает запустить следующий этап атаки, а часть сетевых средств защиты просто не видит происходящее.
Специалисты JUMPSEC обнаружили такую схему после фишингового письма , отправленного одному из клиентов компании. Письмо было написано на тайском языке и маскировалось под финансовый документ, связанный с оплатой. Внутри находилась картинка со ссылкой на файл, размещённый на MediaFire. Такой приём помогает письму выглядеть менее подозрительно, а вредоносный файл злоумышленники держат вне почтовой системы.
Скачанный файл пытался выдать себя за документ. Его имя заканчивалось на «.pdf.scr». В Windows расширения известных типов файлов часто скрыты, поэтому пользователь мог увидеть только «.pdf» и принять файл за обычный документ. На деле расширение «.scr» указывает на исполняемый файл заставки, который запускается так же, как программа.
Файл оказался самораспаковывающимся архивом WinRAR. Запустившись, архив извлекал несколько файлов, но большая часть содержимого служила приманкой и не участвовала в заражении. Основную роль играл сценарий VBS, который запускал следующий этап атаки.
Сценарий был замусорен лишними вызовами и фиктивным кодом, но когда его очистили, логика оказалась довольно короткой. Он собирал строку «cmd.exe» по символам, чтобы его было сложнее обнаружить статическими методами, затем выполнял команды через командную строку. Главная особенность цепочки заключалась в том, что перед тем как запустить вредоносный код, сценарий выполнял команду ipconfig /release, временно разрывая сетевое соединение, а после того как вредоносный код запустился, возвращал подключение командой ipconfig /renew.
Такой приём создаёт короткое «слепое пятно» для защитных систем, которым нужно обращаться к облачным службам репутации или передавать данные наружу. Самые подозрительные действия проходят в момент, когда компьютер уже потерял связь с сетью. Когда подключение возвращается, следующий этап вредоносной программы уже запущен.
Затем атака переходила к сценарию AutoIt . Злоумышленники использовали настоящий интерпретатор AutoIt3, но переименовали его в файл с расширением «.xls». Вредоносный сценарий был раздут до 88 МБ за счёт большого количества мусорных комментариев. Когда код очистили, размер полезного содержимого сократился примерно до 65 КБ.
Сценарий проверял среду, искал признаки того, что систему анализируют, и читал настройки из файла с расширением «.mp3». На самом деле файл содержал конфигурацию в формате INI. Среди параметров были путь, чтобы закрепиться в системе, имя раздела автозапуска WindowsUpdate и ссылка на основной вредоносный компонент.
Основной полезной нагрузкой оказался Remcos – известная программа для удалённого управления, которую злоумышленники часто используют, чтобы шпионить и красть данные. В расшифрованной конфигурации специалисты нашли адреса управляющих серверов, мьютекс Rmc-QDZ9C5, группу ботов selfish и хеш лицензии Remcos.
JUMPSEC отслеживает найденный кластер под названием BlackToad. По оценке компании, группа, вероятно, связана с более широкой нигерийской киберпреступной экосистемой, которую Unit 42 описывает под названием SilverTerrier, но использует собственную инфраструктуру, упаковщик и приманки, не совпадающие с ранее описанными подгруппами.
Управляющие домены pmitm.ddns.net, lordtoad.duckdns.org и toadshit.ddnsfree.com указывали на один и тот же IPv4-адрес 197.210.55.170 и использовали порт 50240. Домены размещались у разных служб динамических адресов, что давало злоумышленникам запасной вариант на случай, если один из доменов заблокируют.
Следы инфраструктуры также вели к нигерийским мобильным операторам MTN Nigeria и Airtel Nigeria, а часть активности проходила через «пуленепробиваемый» хостинг Pfcloud. Специалисты считают, что оператор мог запускать управляющий сервер через мобильное подключение, а не арендовать обычную серверную инфраструктуру.
Дополнительные образцы, найденные через VirusTotal, использовали ту же маскировку расширений, включая файлы IMG00090878900.pdf.scr и slip002030002002.JPG.scr. Один из них сохранял характерный префикс SLIP в имени, что указывает не на единичную атаку, а на активную кампанию против нескольких целей.
JUMPSEC связывает BlackToad с активностью, похожей на кампанию BoredFluff, которую ранее описывали в контексте атак на сотрудников гостиниц через поддельные запросы от гостей. Совпадения по инфраструктуре и тематике приманок делают такую связь вероятной, хотя BlackToad выделяется отдельной техникой, при которой сеть временно отключается, и собственным упаковщиком AutoIt.
Главная опасность кампании не в самом Remcos, который давно известен защитным командам, а в способе доставки. Команды ipconfig /release и ipconfig /renew выглядят как обычные действия для настройки сети, но в цепочке заражения помогают незаметно запустить вредоносный код в обход облачных проверок.
Организациям, которые столкнутся с похожими файлами или доменами, JUMPSEC рекомендует искать признаки работы Remcos. Такая активность может выражаться в том, что вредонос записывает нажатия клавиш, крадёт учётные данные, следит за буфером обмена и выводит файлы из системы.