В октябре 2024 года Microsoft зафиксировала крупномасштабную кампанию малвартизинга, в которой злоумышленники используют среду Node.js для распространения вредоносного ПО среди пользователей, интересующихся криптовалютной торговлей. Распространение вредоноса происходит через фальшивые установщики известных платформ, таких как Binance и TradingView, размещённые на поддельных сайтах.
Жертвы становятся участниками атаки после того, как скачивают и запускают поддельный установщик, выдаваемый за легитимное программное обеспечение. Внутри находится библиотека CustomActions.dll, которая с помощью Windows Management Instrumentation (WMI) собирает основную информацию о системе и создает задание в планировщике задач для закрепления в системе.
CustomActions.dll дополнительно открывает окно браузера через msedge_proxy.exe, демонстрируя жертве официальный сайт криптобиржи. Такой подход позволяет злоумышленникам максимально убедительно имитировать легитимную установку, не вызывая подозрений.
Для обхода средств защиты вредонос использует PowerShell-команды, которые скачивают дополнительные скрипты с удалённых серверов и исключают процессы PowerShell и текущую рабочую папку из сканирования Microsoft Defender for Endpoint. Один из скриптов, написанный с сильной обфускацией, собирает расширенные сведения о системе, BIOS, железе и установленных приложениях, преобразует их в формат JSON и отправляет на сервер управления (C2) с помощью HTTPS POST-запроса.
На следующем этапе вредоносный скрипт PowerShell загружает архив, содержащий бинарник среды Node.js и скомпилированный JavaScript-файл (JSC). Выполнение этого файла через Node.js позволяет установить сетевые соединения и, вероятно, похищать конфиденциальную информацию браузера.
Microsoft также обнаружила альтернативный сценарий атаки, известный как ClickFix: жертву убеждают вручную разрешить выполнение вредоносного JavaScript-кода через PowerShell. В этом варианте Node.js скачивается отдельно, а вредонос выполняется непосредственно из памяти, не создавая файлов на диске. Такой подход позволяет проводить сетевое сканирование, искать ценные данные, маскировать C2-трафик под легитимную активность Cloudflare и закрепляться в системе через изменение ключей автозагрузки Windows.
Node.js, как отмечают специалисты, является мощной кроссплатформенной средой исполнения JavaScript, используемой как на фронтенде, так и на бэкенде. Преступники активно используют её для интеграции вредоносного кода с легитимными приложениями, обхода защитных механизмов и устойчивого присутствия в скомпрометированных системах.
Параллельно фиксируются смежные кампании. CloudSEK сообщает о поддельных сайтах конвертации PDF-документов, копирующих интерфейс легитимного PDF Candy и использующих домены candyxpdf[.]com и candyconverterpdf[.]com. Социальная инженерия ClickFix убеждает пользователей запускать закодированные PowerShell-команды, что ведёт к установке вредоноса SectopRAT (ArechClient2), специализирующегося на краже данных. Исследователь безопасности Varun Ajmera отмечает, что злоумышленники тщательно копируют оригинальный интерфейс и регистрируют похожие домены для введения пользователей в заблуждение.
Особое внимание заслуживают HR-фишинговые атаки с использованием PHP-наборов для компрометации сотрудников компаний. Преступники, связанные с группой Payroll Pirates, проводят фишинговые рассылки и размещают вредоносные объявления в поисковых системах Google, перенаправляя жертв на поддельные HR-страницы. Основная цель — получение доступа к платёжным порталам и изменение банковских реквизитов для хищения средств. Атаки сопровождаются запросами кода двухфакторной аутентификации для обхода дополнительных уровней защиты.
Одной из ключевых тенденций остаётся использование различных векторов компрометации: от криптовалютных платформ и сервисов обработки документов до корпоративных HR-систем. Злоумышленники активно совершенствуют методы социальной инженерии, используют сложные техники обхода защитных средств и массово внедряют открытое ПО для маскировки своей деятельности.
Изображение носит иллюстративный характер
Жертвы становятся участниками атаки после того, как скачивают и запускают поддельный установщик, выдаваемый за легитимное программное обеспечение. Внутри находится библиотека CustomActions.dll, которая с помощью Windows Management Instrumentation (WMI) собирает основную информацию о системе и создает задание в планировщике задач для закрепления в системе.
CustomActions.dll дополнительно открывает окно браузера через msedge_proxy.exe, демонстрируя жертве официальный сайт криптобиржи. Такой подход позволяет злоумышленникам максимально убедительно имитировать легитимную установку, не вызывая подозрений.
Для обхода средств защиты вредонос использует PowerShell-команды, которые скачивают дополнительные скрипты с удалённых серверов и исключают процессы PowerShell и текущую рабочую папку из сканирования Microsoft Defender for Endpoint. Один из скриптов, написанный с сильной обфускацией, собирает расширенные сведения о системе, BIOS, железе и установленных приложениях, преобразует их в формат JSON и отправляет на сервер управления (C2) с помощью HTTPS POST-запроса.
На следующем этапе вредоносный скрипт PowerShell загружает архив, содержащий бинарник среды Node.js и скомпилированный JavaScript-файл (JSC). Выполнение этого файла через Node.js позволяет установить сетевые соединения и, вероятно, похищать конфиденциальную информацию браузера.
Microsoft также обнаружила альтернативный сценарий атаки, известный как ClickFix: жертву убеждают вручную разрешить выполнение вредоносного JavaScript-кода через PowerShell. В этом варианте Node.js скачивается отдельно, а вредонос выполняется непосредственно из памяти, не создавая файлов на диске. Такой подход позволяет проводить сетевое сканирование, искать ценные данные, маскировать C2-трафик под легитимную активность Cloudflare и закрепляться в системе через изменение ключей автозагрузки Windows.
Node.js, как отмечают специалисты, является мощной кроссплатформенной средой исполнения JavaScript, используемой как на фронтенде, так и на бэкенде. Преступники активно используют её для интеграции вредоносного кода с легитимными приложениями, обхода защитных механизмов и устойчивого присутствия в скомпрометированных системах.
Параллельно фиксируются смежные кампании. CloudSEK сообщает о поддельных сайтах конвертации PDF-документов, копирующих интерфейс легитимного PDF Candy и использующих домены candyxpdf[.]com и candyconverterpdf[.]com. Социальная инженерия ClickFix убеждает пользователей запускать закодированные PowerShell-команды, что ведёт к установке вредоноса SectopRAT (ArechClient2), специализирующегося на краже данных. Исследователь безопасности Varun Ajmera отмечает, что злоумышленники тщательно копируют оригинальный интерфейс и регистрируют похожие домены для введения пользователей в заблуждение.
Особое внимание заслуживают HR-фишинговые атаки с использованием PHP-наборов для компрометации сотрудников компаний. Преступники, связанные с группой Payroll Pirates, проводят фишинговые рассылки и размещают вредоносные объявления в поисковых системах Google, перенаправляя жертв на поддельные HR-страницы. Основная цель — получение доступа к платёжным порталам и изменение банковских реквизитов для хищения средств. Атаки сопровождаются запросами кода двухфакторной аутентификации для обхода дополнительных уровней защиты.
Одной из ключевых тенденций остаётся использование различных векторов компрометации: от криптовалютных платформ и сервисов обработки документов до корпоративных HR-систем. Злоумышленники активно совершенствуют методы социальной инженерии, используют сложные техники обхода защитных средств и массово внедряют открытое ПО для маскировки своей деятельности.
