Исследователи кибербезопасности из компании Securonix — Акшай Гайквад, Шиха Сангван и Аарон Бирдсли — опубликовали данные о двух новых вредоносных кампаниях. Первая из них, получившая название JSSMUGGLER, нацелена на корпоративных пользователей и использует компрометированные веб-сайты в качестве основного вектора распространения через скрытые перенаправления. На текущий момент экспертам не удалось найти доказательств, связывающих эту активность с какой-либо конкретной хакерской группировкой или страной.
Атака JSSMUGGLER инициируется через внедрение в зараженные сайты сильно обфусцированного JavaScript-загрузчика (частичное имя файла «phone»). Скрипт оснащен механизмом отслеживания, который гарантирует срабатывание вредоносной логики только при первом посещении сайта, что позволяет минимизировать риск обнаружения. Кроме того, реализована система ветвления с учетом типа устройства, адаптирующая путь заражения к конкретной среде жертвы.
Техническая цепочка атаки включает создание удаленным скриптом URL-адреса во время выполнения для загрузки полезной нагрузки в формате HTML Application (HTA). Этот HTA-файл выполняется системным процессом «mshta.exe». Для обеспечения скрытности вредоносное ПО отключает видимые элементы окон и сворачивает приложение при запуске, фактически действуя как загрузчик для временного промежуточного компонента.
Следующая стадия задействует стейджер на базе PowerShell, который записывается на диск, расшифровывается и выполняется непосредственно в оперативной памяти. После выполнения полезная нагрузка удаляет стейджер с диска и завершает собственный процесс для уничтожения цифровых следов. На финальном этапе расшифрованный PowerShell-скрипт извлекает и развертывает NetSupport RAT — инструмент удаленного администрирования, предоставляющий злоумышленникам полный контроль над хостом.
NetSupport RAT обеспечивает атакующим доступ к удаленному рабочему столу, операции с файлами, выполнение команд, кражу данных и возможности проксирования. В качестве защитных мер исследователи рекомендуют внедрение строгой политики защиты контента (CSP), мониторинг скриптов, логирование PowerShell, ограничение использования «mshta.exe» и применение поведенческой аналитики.
Спустя несколько недель после раскрытия деталей JSSMUGGLER была выявлена вторая кампания — CHAMELEONNET. Основным вектором атаки здесь выступают фишинговые электронные письма, нацеленные на национальный сектор социального обеспечения. Злоумышленники заманивают жертв на поддельный портал веб-почты для загрузки архива формата.BZ2, содержащего сильно обфусцированный JavaScript-файл.
Дроппер внутри архива запускает сложный загрузчик на , использующий продвинутую рефлексию и кастомный условный XOR-шифр для расшифровки и выполнения полезной нагрузки исключительно в памяти. JavaScript-дроппер декодирует и записывает файлы в директорию %TEMP%, включая файл «svchost.js». Этот скрипт сбрасывает исполняемый.NET-загрузчик DarkTortilla (имя файла «QNaZg.exe»), функционирующий как криптер для распространения полезных нагрузок следующего этапа.
Параллельно в системе создается файл «adobe.js», который сбрасывает установочный пакет MSI с именем «PHat.jar», демонстрирующий поведение, аналогичное «svchost.js». Для обеспечения персистентности вредоносное ПО добавляет себя в папку автозагрузки Windows для запуска при перезагрузке системы, а также управляет механизмами сохранения через реестр Windows.
Конечной целью кампании CHAMELEONNET является развертывание вредоносного ПО Formbook, которое классифицируется как кейлоггер и инструмент для кражи информации (Info Stealer). Formbook внедряется в зараженную систему в формате встроенной DLL, которая расшифровывается и выполняется загрузчиком.
Изображение носит иллюстративный характер
Атака JSSMUGGLER инициируется через внедрение в зараженные сайты сильно обфусцированного JavaScript-загрузчика (частичное имя файла «phone»). Скрипт оснащен механизмом отслеживания, который гарантирует срабатывание вредоносной логики только при первом посещении сайта, что позволяет минимизировать риск обнаружения. Кроме того, реализована система ветвления с учетом типа устройства, адаптирующая путь заражения к конкретной среде жертвы.
Техническая цепочка атаки включает создание удаленным скриптом URL-адреса во время выполнения для загрузки полезной нагрузки в формате HTML Application (HTA). Этот HTA-файл выполняется системным процессом «mshta.exe». Для обеспечения скрытности вредоносное ПО отключает видимые элементы окон и сворачивает приложение при запуске, фактически действуя как загрузчик для временного промежуточного компонента.
Следующая стадия задействует стейджер на базе PowerShell, который записывается на диск, расшифровывается и выполняется непосредственно в оперативной памяти. После выполнения полезная нагрузка удаляет стейджер с диска и завершает собственный процесс для уничтожения цифровых следов. На финальном этапе расшифрованный PowerShell-скрипт извлекает и развертывает NetSupport RAT — инструмент удаленного администрирования, предоставляющий злоумышленникам полный контроль над хостом.
NetSupport RAT обеспечивает атакующим доступ к удаленному рабочему столу, операции с файлами, выполнение команд, кражу данных и возможности проксирования. В качестве защитных мер исследователи рекомендуют внедрение строгой политики защиты контента (CSP), мониторинг скриптов, логирование PowerShell, ограничение использования «mshta.exe» и применение поведенческой аналитики.
Спустя несколько недель после раскрытия деталей JSSMUGGLER была выявлена вторая кампания — CHAMELEONNET. Основным вектором атаки здесь выступают фишинговые электронные письма, нацеленные на национальный сектор социального обеспечения. Злоумышленники заманивают жертв на поддельный портал веб-почты для загрузки архива формата.BZ2, содержащего сильно обфусцированный JavaScript-файл.
Дроппер внутри архива запускает сложный загрузчик на , использующий продвинутую рефлексию и кастомный условный XOR-шифр для расшифровки и выполнения полезной нагрузки исключительно в памяти. JavaScript-дроппер декодирует и записывает файлы в директорию %TEMP%, включая файл «svchost.js». Этот скрипт сбрасывает исполняемый.NET-загрузчик DarkTortilla (имя файла «QNaZg.exe»), функционирующий как криптер для распространения полезных нагрузок следующего этапа.
Параллельно в системе создается файл «adobe.js», который сбрасывает установочный пакет MSI с именем «PHat.jar», демонстрирующий поведение, аналогичное «svchost.js». Для обеспечения персистентности вредоносное ПО добавляет себя в папку автозагрузки Windows для запуска при перезагрузке системы, а также управляет механизмами сохранения через реестр Windows.
Конечной целью кампании CHAMELEONNET является развертывание вредоносного ПО Formbook, которое классифицируется как кейлоггер и инструмент для кражи информации (Info Stealer). Formbook внедряется в зараженную систему в формате встроенной DLL, которая расшифровывается и выполняется загрузчиком.
