Киберпреступники развернули кампанию, использующую легитимное программное обеспечение для удаленного мониторинга и управления ConnectWise ScreenConnect для распространения бесфайлового вредоносного загрузчика. Конечной целью атаки является установка трояна удаленного доступа AsyncRAT, который предназначен для кражи конфиденциальных данных, включая учетные данные и информацию о криптовалютных кошельках.
Атака начинается с фишинговых писем, содержащих троянизированные установщики ScreenConnect, замаскированные под финансовые или другие деловые документы. После получения первоначального доступа злоумышленник в режиме «hands-on-keyboard» (прямого ручного управления) внутри удаленной сессии запускает первую ступень вредоносного кода — скрипт Visual Basic (VBScript).
Запущенный VBScript инициирует выполнение скрипта PowerShell. Этот PowerShell-скрипт подключается к контролируемому злоумышленниками серверу для загрузки двух внешних обфусцированных (запутанных) компонентов:
Для обеспечения постоянного присутствия в скомпрометированной системе используется первый загруженный файл,
Основной PowerShell-скрипт загружает DLL-библиотеку
После активации AsyncRAT начинает выполнять свои вредоносные функции. Троян способен регистрировать нажатия клавиш, похищать сохраненные в браузерах логины и пароли, а также собирать подробную информацию об аппаратной и программной конфигурации зараженного компьютера (системный фингерпринтинг).
Особое внимание AsyncRAT уделяет поиску и краже данных криптовалютных кошельков. Вредоносная программа целенаправленно сканирует систему на наличие как десктопных приложений-кошельков, так и соответствующих расширений в браузерах. Целями сканирования являются Google Chrome, Brave, Microsoft Edge, Opera и Mozilla Firefox.
Для вывода украденной информации и получения дальнейших команд используется сервер управления (C2), расположенный по адресу
Согласно отчету компании по кибербезопасности LevelBlue, данная атака иллюстрирует серьезную угрозу. Шон Ширли, аналитик SOC из LevelBlue MDR, заявил: «Бесфайловые вредоносные программы продолжают представлять серьезную проблему для современных средств кибербезопасности».
Сложность обнаружения таких угроз заключается в их скрытной природе. Они избегают записи традиционных исполняемых файлов на диск, выполняя свой код непосредственно в оперативной памяти системы. Кроме того, они злоупотребляют доверенными системными инструментами, такими как PowerShell и VBScript, для своей работы.
Эти характеристики делают бесфайловые угрозы «труднее для обнаружения, анализа и искоренения» по сравнению с традиционными видами вредоносного программного обеспечения.
Изображение носит иллюстративный характер
Атака начинается с фишинговых писем, содержащих троянизированные установщики ScreenConnect, замаскированные под финансовые или другие деловые документы. После получения первоначального доступа злоумышленник в режиме «hands-on-keyboard» (прямого ручного управления) внутри удаленной сессии запускает первую ступень вредоносного кода — скрипт Visual Basic (VBScript).
Запущенный VBScript инициирует выполнение скрипта PowerShell. Этот PowerShell-скрипт подключается к контролируемому злоумышленниками серверу для загрузки двух внешних обфусцированных (запутанных) компонентов:
logs.ldk и logs.ldr. Этот многоступенчатый подход используется для уклонения от обнаружения антивирусными системами. Для обеспечения постоянного присутствия в скомпрометированной системе используется первый загруженный файл,
logs.ldk, который является DLL-библиотекой. Эта библиотека записывает на диск второй, вспомогательный VBScript. Данный скрипт создает в системе запланированную задачу под названием «Skype Updater», которая автоматически запускает вредоносный код после каждого входа пользователя в систему. Имя задачи выбрано для маскировки под легитимный процесс обновления. Основной PowerShell-скрипт загружает DLL-библиотеку
logs.ldk непосредственно в оперативную память системы как , не сохраняя ее на диске. Затем он передает второй загруженный файл, logs.ldr, в качестве входных данных для этой сборки в памяти. В результате этого процесса происходит распаковка и запуск финальной полезной нагрузки — исполняемого файла AsyncClient.exe, который является трояном AsyncRAT. После активации AsyncRAT начинает выполнять свои вредоносные функции. Троян способен регистрировать нажатия клавиш, похищать сохраненные в браузерах логины и пароли, а также собирать подробную информацию об аппаратной и программной конфигурации зараженного компьютера (системный фингерпринтинг).
Особое внимание AsyncRAT уделяет поиску и краже данных криптовалютных кошельков. Вредоносная программа целенаправленно сканирует систему на наличие как десктопных приложений-кошельков, так и соответствующих расширений в браузерах. Целями сканирования являются Google Chrome, Brave, Microsoft Edge, Opera и Mozilla Firefox.
Для вывода украденной информации и получения дальнейших команд используется сервер управления (C2), расположенный по адресу
3osch20.duckdns[.]org. Связь с сервером осуществляется через TCP-сокет. Адрес сервера либо жестко закодирован в теле вредоносного ПО, либо извлекается с удаленного URL-адреса на сервисе Pastebin. Согласно отчету компании по кибербезопасности LevelBlue, данная атака иллюстрирует серьезную угрозу. Шон Ширли, аналитик SOC из LevelBlue MDR, заявил: «Бесфайловые вредоносные программы продолжают представлять серьезную проблему для современных средств кибербезопасности».
Сложность обнаружения таких угроз заключается в их скрытной природе. Они избегают записи традиционных исполняемых файлов на диск, выполняя свой код непосредственно в оперативной памяти системы. Кроме того, они злоупотребляют доверенными системными инструментами, такими как PowerShell и VBScript, для своей работы.
Эти характеристики делают бесфайловые угрозы «труднее для обнаружения, анализа и искоренения» по сравнению с традиционными видами вредоносного программного обеспечения.
