Исследователи из Securonix Шикха Сангван, Акшай Гайквад и Аарон Бирдсли раскрыли подробности кибератаки, нацеленной на франкоязычные корпоративные среды. Кампания получила название FAUXELEVATE. Её особенность в том, что она совмещает сразу три задачи: кражу учётных данных, выгрузку файлов с рабочих столов жертв и скрытый майнинг криптовалюты Monero (XMR). Атака начинается с банального фишингового письма, к которому прикреплено поддельное резюме. Внутри — файл на VBScript, раздутый до 9,7 мегабайт.
Этот размер не случаен. Из 224 471 строки кода реально исполняемых — всего 266. Остальное — мусорные комментарии, состоящие из случайных английских предложений. Раздувание файла преследует конкретную цель: многие сканеры безопасности пропускают крупные файлы или обрабатывают их поверхностно. Это дешёвый, но до сих пор рабочий трюк.
При запуске скрипт первым делом показывает пользователю ложное сообщение об ошибке на французском языке. Мол, файл повреждён, ничего не работает. Жертва пожимает плечами и закрывает окно, а в это время код уже работает. Он проверяет, не запущен ли он в песочнице или аналитической среде. Если всё чисто — переходит к следующему шагу: через WMI (Windows Management Instrumentation) определяет, подключена ли машина к корпоративному домену. Домашние компьютеры вредоносу не интересны, ему нужны именно корпоративные.
Дальше начинается навязчивая атака на повышение привилегий. Скрипт в цикле раз за разом запрашивает у пользователя права администратора через UAC. Расчёт прост: рано или поздно человек устанет нажимать «Нет» и согласится. Как только административный доступ получен, малварь добавляет пути исключений в Microsoft Defender для всех основных дисковых разделов — от C до I. Потом через реестр Windows отключает UAC, чтобы больше никаких всплывающих окон не было. И в финале этого этапа дроппер стирает сам себя.
Для хранения полезной нагрузки и управления атакой используются легитимные сервисы — тактика, которую иногда называют «жизнь за счёт чужой земли». Архивы с инструментами лежат на Dropbox. Конфигурации майнера размещены на взломанных марокканских сайтах на WordPress. А для пересылки украденных данных задействована почтовая инфраструктура .
С Dropbox загружаются два защищённых паролем 7-Zip архива. Первый — gmail2.7z — содержит набор для кражи и майнинга. В нём ChromElevator, который обходит App-Bound Encryption в браузерах на основе Chromium и вытаскивает чувствительные данные. Скрипт mozilla.vbs ворует профили и учётные данные из Firefox. Другой скрипт, walls.vbs, собирает файлы с рабочего стола жертвы. Там же лежит mservice.exe — это XMRig, известный майнер Monero, и WinRing0x64.sys — легитимный драйвер ядра Windows, который используется для выжимания максимума производительности из процессора при добыче криптовалюты.
Второй архив — gmail_ma.7z — отвечает за закрепление в системе. Внутри RuntimeHost.exe, постоянно действующий троян. Он модифицирует правила брандмауэра Windows и поддерживает связь с командным сервером.
Украденные данные браузеров отправляются по SMTP с двух аккаунтов — n_p_p_n_n@mail.ru и p_n_p_n_p@mail.ru — на адрес m_p_n_m_p@mail.ru. Любопытная деталь: оба отправляющих аккаунта используют один и тот же пароль. Это может говорить либо о лени атакующих, либо о том, что вся инфраструктура создавалась наспех одним человеком.
Пожалуй, самая пугающая цифра во всей этой истории — скорость. Вся цепочка заражения, от первого запуска VBS-файла до момента, когда учётные данные уже отправлены по почте, занимает примерно 25 секунд. Двадцать пять. За это время большинство пользователей даже не успевают понять, что что-то пошло не так.
После того как данные украдены и файлы выгружены, атака проводит агрессивную зачистку: промежуточные инструменты удаляются. В системе остаются только майнер и троян RuntimeHost.exe. Первый тихо грузит процессор, добывая Monero для атакующих. Второй обеспечивает постоянный доступ к машине и связь с командным сервером через модифицированные правила файервола.
Вся кампания FAUXELEVATE построена на социальной инженерии и эскалации привилегий через UAC. Технически ничего революционного здесь нет — обфусцированный VBScript, Dropbox как хостинг, взломанные WordPress-сайты. Но сочетание этих элементов работает. Корпоративные HR-отделы ежедневно открывают десятки резюме от незнакомцев, и отличить фальшивку от настоящего CV навскидку практически невозможно. А 25 секунд — это слишком мало, чтобы среагировать постфактум.
Изображение носит иллюстративный характер
Этот размер не случаен. Из 224 471 строки кода реально исполняемых — всего 266. Остальное — мусорные комментарии, состоящие из случайных английских предложений. Раздувание файла преследует конкретную цель: многие сканеры безопасности пропускают крупные файлы или обрабатывают их поверхностно. Это дешёвый, но до сих пор рабочий трюк.
При запуске скрипт первым делом показывает пользователю ложное сообщение об ошибке на французском языке. Мол, файл повреждён, ничего не работает. Жертва пожимает плечами и закрывает окно, а в это время код уже работает. Он проверяет, не запущен ли он в песочнице или аналитической среде. Если всё чисто — переходит к следующему шагу: через WMI (Windows Management Instrumentation) определяет, подключена ли машина к корпоративному домену. Домашние компьютеры вредоносу не интересны, ему нужны именно корпоративные.
Дальше начинается навязчивая атака на повышение привилегий. Скрипт в цикле раз за разом запрашивает у пользователя права администратора через UAC. Расчёт прост: рано или поздно человек устанет нажимать «Нет» и согласится. Как только административный доступ получен, малварь добавляет пути исключений в Microsoft Defender для всех основных дисковых разделов — от C до I. Потом через реестр Windows отключает UAC, чтобы больше никаких всплывающих окон не было. И в финале этого этапа дроппер стирает сам себя.
Для хранения полезной нагрузки и управления атакой используются легитимные сервисы — тактика, которую иногда называют «жизнь за счёт чужой земли». Архивы с инструментами лежат на Dropbox. Конфигурации майнера размещены на взломанных марокканских сайтах на WordPress. А для пересылки украденных данных задействована почтовая инфраструктура .
С Dropbox загружаются два защищённых паролем 7-Zip архива. Первый — gmail2.7z — содержит набор для кражи и майнинга. В нём ChromElevator, который обходит App-Bound Encryption в браузерах на основе Chromium и вытаскивает чувствительные данные. Скрипт mozilla.vbs ворует профили и учётные данные из Firefox. Другой скрипт, walls.vbs, собирает файлы с рабочего стола жертвы. Там же лежит mservice.exe — это XMRig, известный майнер Monero, и WinRing0x64.sys — легитимный драйвер ядра Windows, который используется для выжимания максимума производительности из процессора при добыче криптовалюты.
Второй архив — gmail_ma.7z — отвечает за закрепление в системе. Внутри RuntimeHost.exe, постоянно действующий троян. Он модифицирует правила брандмауэра Windows и поддерживает связь с командным сервером.
Украденные данные браузеров отправляются по SMTP с двух аккаунтов — n_p_p_n_n@mail.ru и p_n_p_n_p@mail.ru — на адрес m_p_n_m_p@mail.ru. Любопытная деталь: оба отправляющих аккаунта используют один и тот же пароль. Это может говорить либо о лени атакующих, либо о том, что вся инфраструктура создавалась наспех одним человеком.
Пожалуй, самая пугающая цифра во всей этой истории — скорость. Вся цепочка заражения, от первого запуска VBS-файла до момента, когда учётные данные уже отправлены по почте, занимает примерно 25 секунд. Двадцать пять. За это время большинство пользователей даже не успевают понять, что что-то пошло не так.
После того как данные украдены и файлы выгружены, атака проводит агрессивную зачистку: промежуточные инструменты удаляются. В системе остаются только майнер и троян RuntimeHost.exe. Первый тихо грузит процессор, добывая Monero для атакующих. Второй обеспечивает постоянный доступ к машине и связь с командным сервером через модифицированные правила файервола.
Вся кампания FAUXELEVATE построена на социальной инженерии и эскалации привилегий через UAC. Технически ничего революционного здесь нет — обфусцированный VBScript, Dropbox как хостинг, взломанные WordPress-сайты. Но сочетание этих элементов работает. Корпоративные HR-отделы ежедневно открывают десятки резюме от незнакомцев, и отличить фальшивку от настоящего CV навскидку практически невозможно. А 25 секунд — это слишком мало, чтобы среагировать постфактум.
