😉SquidLoader: Новый уровень кибератак — вирус-терминатор, уничтожающий сам себя
Недавно обнаруженная модификация вируса SquidLoader вызвала настоящую панику в финансовой среде Гонконга благодаря своей способности оставаться незамеченной большинством современных антивирусных решений. Этот новый штамм способен мгновенно ликвидироваться при малейших признаках угрозы детектирования, что существенно усложняет борьбу с ним.
Атака начиналась с фишинга — жертва получала письмо на китайском языке, выглядящее как обычная деловая корреспонденция. Внутри были прикреплены зашифрованные файлы формата RAR, содержащие опасный исполняемый элемент, скрытый под видом документа Word или системного компонента. После запуска вредоносная программа копируется в общедоступную папку, меняя своё название и хитро внедряя зловредный код ещё до начала нормального функционирования приложения.
Программа состоит из нескольких уровней, каждый из которых добавляет сложности специалистам по безопасности. Например, второй этап включает использование нестандартных способов загрузки нужных функций из ключевых библиотек, такие как ntdll.dll и kernel32.dll, одновременно скрывая любые признаки своего присутствия.
Чтобы избежать изучения специалистами, SquidLoader активно ищет индикаторы виртуальных сред и среды разработки, включая проверку запущенных отладчиков вроде OllyDbg, IDA Pro или популярных защитных продуктов типа Windows Defender. Если обнаружены подозрения на попытку анализа, вредонос автоматически прекращает выполнение.
Особенность заключается и в неожиданном методе борьбы с эмуляторами: создание отдельного потока, «спящего» на протяжении целых 16 минут, который проверяет успешность исполнения последующих команд. Обычно такая схема не воспроизводится правильно в песочницах и эмуляторах, что провоцирует программу на самоликвидацию.
Также присутствует ряд уникальных механизмов сокрытия: строки кода регулярно шифруются заново, проводится проверка окружения на предмет наличия симуляционных сред (Microsoft Emulator), а перед попыткой подключения создаётся поддельное сообщение о повреждённом файле, которое выводит программу из автоматического режима исследования.
Окончательно закрепившись в системе, SquidLoader связывается с управляющим сервером, представляя этот контакт как обычный обмен данными с Kubernetes API. Получив необходимые данные жертвы, он активирует загрузчик Cobalt Strike Beacon, предоставляющий злоумышленникам полный контроль над заражённым устройством.
Стоит отметить, что подобные модификации ранее наблюдались в кампаниях против организаций в Сингапуре, материковом Китае и даже Австралии. Подобные случаи демонстрируют глобальную координацию атакующих группировок и подчеркивают важность осторожности при обработке электронных сообщений.
