изображение: recraft
Эксперты из аналитического центра Seqrite Labs зафиксировали новую волну атак, в ходе которых киберпреступники задействуют маскировку вредоносного ПО под скрипты формата .VBE. Специалисты обратили внимание на усовершенствованную версию программы Masslogger, распространяемую в рамках фишинговой кампании. Злоумышленники отказались от записи данных на диск, сделав ставку на размещение вредоносного кода исключительно в системном реестре операционной системы Windows.
Сценарий заражения стартует с запуска зашифрованного скрипта, который моментально расшифровывается в оперативной памяти. Его структура тщательно запутана: применена многоуровневая обфускация, существенно затрудняющая анализ. После активации скрипт формирует сложную иерархию записей в ветке «HKCU\Software», где по частям размещается основная нагрузка, каждый фрагмент которой достигает 25 тыс. символов. Чтобы обеспечить постоянную активность в системе, в планировщике задач создаётся специальное расписание. Оно активирует скрипт каждую минуту, имитируя действия пользователя и запуская PowerShell для дальнейшего выполнения кода.
По мере продвижения вредонос проходит через этап поэтапной загрузки. В первую очередь из реестра извлекается небольшой исполняемый файл на платформе .NET (Stager-1), инициирующий следующий фрагмент — Stager-2. Эта последовательность завершает развёртывание Masslogger, внедряя его в доверенный процесс AddInProcess32.exe. Приём, применённый при этом, известен как подмена содержимого процесса (Process Hollowing), что позволяет обходить даже продвинутые механизмы защиты и минимизирует шансы на выявление активности.
После полноценной установки Masslogger переключается на свою главную функцию — кражу информации. Программа охватывает широкий спектр целей: от паролей и логинов в популярных браузерах (в том числе Chrome) до учётных данных в почтовых клиентах. Активирован кейлоггер, отслеживающий ввод с клавиатуры и поведение пользователя. Отправка собранных данных происходит через заранее подготовленные каналы — FTP, почтовые SMTP-серверы и Telegram-ботов, доступ к которым прописан в коде заранее.
Дополнительный уровень защиты реализован через систему антианализа. Программа выявляет активность антивирусных решений, обращаясь к соответствующим разделам реестра. При обнаружении нескольких активных защитных модулей вредонос приостанавливает выполнение. Интерес также вызывает локализованная стратегия: при наличии признаков запуска во французской среде Masslogger пытается загрузить дополнительный компонент с заранее заданного интернет-адреса. На момент анализа указанный ресурс оказался недоступным.
Заключительный этап активности вируса направлен на скрытие всех следов. Прекращаются процессы PowerShell.exe и conhost.exe, удаляются временные элементы, что затрудняет последующий разбор инцидента и не даёт аналитикам получить полную картину активности. Специалисты Seqrite Labs подчёркивают, что подобные методы свидетельствуют о всё более продвинутом характере атак, в которых злоумышленники стремятся использовать наименее заметные каналы для кражи персональных данных.
Оригинал публикации на сайте CISOCLUB: "Хакеры освоили реестр Windows как тайник для вирусов, способных красть данные без сохранения файлов".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.