Команда Securonix Threat Hunter Team обнаружила сложную вредоносную кампанию, получившую название DEADVAX. Исследователи Акшай Гайквад, Шикха Сангван и Аарон Бирдсли выявили использование скрытных методов и дисциплинированного подхода к взлому. Согласно отчету The Hacker News, основной целью злоумышленников является развертывание AsyncRAT — трояна удаленного доступа с открытым исходным кодом, который выполняется в формате зашифрованного шеллкода x64.
Первоначальный вектор заражения опирается на фишинговые электронные письма, замаскированные под фальшивые заказы на покупку. Вместо привычных вложений злоумышленники используют файлы виртуального жесткого диска (VHD), размещенные в децентрализованной сети InterPlanetary Filesystem (IPFS). Эти файлы VHD специально замаскированы под документы PDF, чтобы обмануть бдительность жертв и спровоцировать их на открытие.
Цепочка заражения начинается в момент, когда пользователь дважды кликает на файл, похожий на PDF. В этот момент файл монтируется в системе как виртуальный жесткий диск, например, под буквой «E:\». Внутри смонтированного диска находится файл сценария Windows (WSF), который также визуально имитирует PDF-документ. Запуск этого скрипта пользователем активирует сильно обфусцированный Batch-скрипт.
Вредоносное ПО проводит тщательную проверку среды выполнения перед развертыванием основной нагрузки. Скрипт удостоверяется, что он не запущен в виртуализированной среде или песочнице, и подтверждает наличие необходимых привилегий. После этого запускается самоанализирующийся загрузчик PowerShell, который проверяет среду, расшифровывает встроенные полезные нагрузки и настраивает механизмы закрепления в системе.
Ключевой особенностью кампании является бесфайловое выполнение. Расшифрованный бинарный файл никогда не сохраняется на физическом диске компьютера, а работает полностью в оперативной памяти. Этот подход значительно усложняет криминалистическую реконструкцию инцидента и позволяет обходить многие традиционные средства защиты конечных точек, ориентированные на сканирование файлов.
Для маскировки своей активности загрузчик внедряет вредоносный код в доверенные процессы Windows, подписанные Microsoft. Исследователи зафиксировали инъекции кода в такие процессы, как
Техническая тактика уклонения также включает в себя искусственное замедление работы (throttling). Вредоносная программа использует интервалы сна для снижения нагрузки на процессор и предотвращения подозрительной быстрой активности Win32 API. Такое поведение делает работу программы менее аномальной для поведенческих анализаторов безопасности.
После успешного внедрения AsyncRAT предоставляет злоумышленникам широкие возможности для шпионажа. Троян способен осуществлять кейлоггинг, захват изображения с экрана и веб-камеры, мониторинг буфера обмена, а также получать полный доступ к файловой системе и выполнять удаленные команды. Постоянство присутствия в системе даже после перезагрузки обеспечивается через создание запланированных задач (Scheduled Tasks).
Аналитики отмечают эволюцию методов кибератак. Наблюдается переход от доставки одиночных вредоносных бинарных файлов к созданию «многоступенчатых конвейеров выполнения», где отдельные компоненты выглядят безвредными, если рассматривать их изолированно.
Использование виртуальных дисков в этой кампании выделяется как особо опасный тренд. Исследователи подчеркивают: «Использование файла VHD является весьма специфической и эффективной техникой уклонения... Это поведение показывает, как файлы VHD обходят определенные средства контроля безопасности».
Изображение носит иллюстративный характер
Первоначальный вектор заражения опирается на фишинговые электронные письма, замаскированные под фальшивые заказы на покупку. Вместо привычных вложений злоумышленники используют файлы виртуального жесткого диска (VHD), размещенные в децентрализованной сети InterPlanetary Filesystem (IPFS). Эти файлы VHD специально замаскированы под документы PDF, чтобы обмануть бдительность жертв и спровоцировать их на открытие.
Цепочка заражения начинается в момент, когда пользователь дважды кликает на файл, похожий на PDF. В этот момент файл монтируется в системе как виртуальный жесткий диск, например, под буквой «E:\». Внутри смонтированного диска находится файл сценария Windows (WSF), который также визуально имитирует PDF-документ. Запуск этого скрипта пользователем активирует сильно обфусцированный Batch-скрипт.
Вредоносное ПО проводит тщательную проверку среды выполнения перед развертыванием основной нагрузки. Скрипт удостоверяется, что он не запущен в виртуализированной среде или песочнице, и подтверждает наличие необходимых привилегий. После этого запускается самоанализирующийся загрузчик PowerShell, который проверяет среду, расшифровывает встроенные полезные нагрузки и настраивает механизмы закрепления в системе.
Ключевой особенностью кампании является бесфайловое выполнение. Расшифрованный бинарный файл никогда не сохраняется на физическом диске компьютера, а работает полностью в оперативной памяти. Этот подход значительно усложняет криминалистическую реконструкцию инцидента и позволяет обходить многие традиционные средства защиты конечных точек, ориентированные на сканирование файлов.
Для маскировки своей активности загрузчик внедряет вредоносный код в доверенные процессы Windows, подписанные Microsoft. Исследователи зафиксировали инъекции кода в такие процессы, как
RuntimeBroker.exe, OneDrive.exe, taskhostw.exe и sihost.exe. Использование легитимных системных процессов позволяет трояну скрываться от мониторинга диспетчера задач и антивирусных сканеров. Техническая тактика уклонения также включает в себя искусственное замедление работы (throttling). Вредоносная программа использует интервалы сна для снижения нагрузки на процессор и предотвращения подозрительной быстрой активности Win32 API. Такое поведение делает работу программы менее аномальной для поведенческих анализаторов безопасности.
После успешного внедрения AsyncRAT предоставляет злоумышленникам широкие возможности для шпионажа. Троян способен осуществлять кейлоггинг, захват изображения с экрана и веб-камеры, мониторинг буфера обмена, а также получать полный доступ к файловой системе и выполнять удаленные команды. Постоянство присутствия в системе даже после перезагрузки обеспечивается через создание запланированных задач (Scheduled Tasks).
Аналитики отмечают эволюцию методов кибератак. Наблюдается переход от доставки одиночных вредоносных бинарных файлов к созданию «многоступенчатых конвейеров выполнения», где отдельные компоненты выглядят безвредными, если рассматривать их изолированно.
Использование виртуальных дисков в этой кампании выделяется как особо опасный тренд. Исследователи подчеркивают: «Использование файла VHD является весьма специфической и эффективной техникой уклонения... Это поведение показывает, как файлы VHD обходят определенные средства контроля безопасности».
