Злоумышленники из группы Interlock вышли на новый уровень, выпустив свежую версию трояна для удалённого доступа (RAT) на PHP и распространяя её через усовершенствованный FileFix.
«Interlock RAT используется с мая 2025 года в атаках, связанных с кампаниями LandUpdate808 (известными также как KongTuke)», — сообщают эксперты в совместном отчёте с Proofpoint.
Всё начинается с того, что на взломанные сайты внедряют скрытый однострочный скрипт прямо в HTML-код. Владельцы и посетители часто даже не подозревают о заражении.
Далее этот JavaScript работает как система переадресации: анализируя IP-адреса, он пересылает жертв на поддельные страницы с проверкой CAPTCHA. Там через ClickFix пользователей убеждают запустить PowerShell-скрипт, что приводит к установке NodeSnake (он же Interlock RAT).
Ранее специалисты Quorum Cyber уже фиксировали атаки Interlock с использованием NodeSnake — жертвами были британские государственные учреждения и университеты в январе и марте 2025 года. Вредонос позволяет хакерам получить постоянный удалённый доступ, собирать данные о системе и передавать команды для дальнейших действий.
Хотя изначально троян был написан на Node.js, сейчас атакующие активно применяют и версию на PHP — именно её распространяют через FileFix, нацеливаясь на компании из разных отраслей.
«Эта обновлённая схема позволяет сначала внедрить вариант трояна на PHP, а затем — при необходимости — загрузить и классическую Node.js-версию Interlock RAT», — отмечают эксперты.
FileFix — усовершенствованная версия ClickFix. Она обманывает пользователей, заставляя копировать и вставлять подозрительные команды в адресную строку Проводника Windows. Такой подход в апреле 2025 года описал исследователь mrd0x как proof-of-concept.
После проникновения RAT детально изучает заражённый компьютер, отправляет информацию о системе (в формате JSON), определяет уровень доступа (USER, ADMIN или SYSTEM) и связывается с внешним сервером — чтобы загрузить и запустить новые вредоносные программы в виде EXE или DLL.
Для закрепления в системе троян меняет настройки в реестре Windows, а для распространения по внутренней сети использует RDP.
Особую опасность представляет то, что Interlock маскирует свои командные серверы за поддоменами Cloudflare Tunnel, что затрудняет их отслеживание. Более того, в коде предусмотрены запасные IP-адреса — это позволяет поддерживать связь даже в случае блокировки Cloudflare Tunnel.
«Этот пример хорошо иллюстрирует, как стремительно развиваются инструменты Interlock и с какой изобретательностью действуют операторы. Если раньше вирус нападал в виде Node.js-модификации, то теперь в ход активно идёт PHP-вариант — а это открывает преступникам ещё больше лазеек для проникновения в корпоративные сети», — подчеркивают специалисты.
Если вам понравилась эта статья, подпишитесь, чтобы не пропустить еще много полезных статей!
Премиум подписка - это доступ к эксклюзивным материалам, чтение канала без рекламы, возможность предлагать темы для статей и даже заказывать индивидуальные обзоры/исследования по своим запросам!Подробнее о том, какие преимущества вы получите с премиум подпиской, можно узнать здесь
Также подписывайтесь на нас в:
- Telegram: https://t.me/gergenshin
- Youtube: https://www.youtube.com/@gergenshin
- Яндекс Дзен: https://dzen.ru/gergen
- Официальный сайт: https://www-genshin.ru