Письмо, архив и странные символы. Рассказываем, как вредонос VioletRAT обходит защиту Windows
NewsMakerПосмотрите, на что готовы пойти хакеры ради ваших секретов.
Специалисты SonicWall зафиксировали новую кампанию распространения вредоносной программы VioletRAT. Атака использует многоступенчатую цепочку доставки и сложную схему внедрения кода, основанную на Python. Злоумышленники применяют несколько этапов загрузки и скрытого запуска полезной нагрузки, чтобы закрепиться в системе и обойти защитные механизмы Windows.
Распространение начинается с письма, содержащего архив. Внутри архива находится сильно запутанный BAT-файл. Файл сохранён в кодировке UTF-16LE, поэтому при открытии в стандартном текстовом редакторе отображается как набор бессмысленных символов. Такой приём скрывает содержимое сценария и снижает вероятность обнаружения.
После запуска BAT-файл незаметно запускает PowerShell и открывает сайт google.com в браузере. Далее сценарий скачивает архив did.zip из облачного хранилища и сохраняет файл в каталог %USERPROFILE%/Contacts/dad. Одновременно загружается дополнительный сценарий start.bat в папку автозагрузки Windows, что обеспечивает повторный запуск вредоносного кода при каждом старте системы.
Следующий этап связан с запуском Python -скрипта stry.py. Архив содержит несколько компонентов: зашифрованный shellcode в файле nou.bin, ключи дешифрования в a.txt и набор вспомогательных библиотек Python. Сценарий маскирует типы данных, имена API и параметры функций, присваивая им другие обозначения. Внутри кода инструмент называет себя Advanced Payload Executor.
Специалисты SonicWall зафиксировали новую кампанию распространения вредоносной программы VioletRAT. Атака использует многоступенчатую цепочку доставки и сложную схему внедрения кода, основанную на Python. Злоумышленники применяют несколько этапов загрузки и скрытого запуска полезной нагрузки, чтобы закрепиться в системе и обойти защитные механизмы Windows.
Распространение начинается с письма, содержащего архив. Внутри архива находится сильно запутанный BAT-файл. Файл сохранён в кодировке UTF-16LE, поэтому при открытии в стандартном текстовом редакторе отображается как набор бессмысленных символов. Такой приём скрывает содержимое сценария и снижает вероятность обнаружения.
После запуска BAT-файл незаметно запускает PowerShell и открывает сайт google.com в браузере. Далее сценарий скачивает архив did.zip из облачного хранилища и сохраняет файл в каталог %USERPROFILE%/Contacts/dad. Одновременно загружается дополнительный сценарий start.bat в папку автозагрузки Windows, что обеспечивает повторный запуск вредоносного кода при каждом старте системы.
Следующий этап связан с запуском Python -скрипта stry.py. Архив содержит несколько компонентов: зашифрованный shellcode в файле nou.bin, ключи дешифрования в a.txt и набор вспомогательных библиотек Python. Сценарий маскирует типы данных, имена API и параметры функций, присваивая им другие обозначения. Внутри кода инструмент называет себя Advanced Payload Executor.