Недавние кампании по распространению вредоносного ПО показали, что злоумышленники всё активнее используют загрузчики на базе BAT и нетрадиционные форматы файлов для доставки сложных троянских программ удалённого доступа — в частности, XWorm и Remcos. На первый взгляд простая схема с ZIP‑архивом, размещённым на кажущихся законными платформах, становится отправной точкой для многоступенчатой цепочки заражения, где ключевую роль играют сценарии BAT.
Суть угрозы
В первой выявленной волне атак злоумышленники использовали разнообразные сценарии BAT, многие из которых находятся в активной разработке. Скрипты обеспечивают полную цепочку — от доставки полезной нагрузки до её исполнения и закрепления на системе. Для устойчивости на машине создаётся BAT‑файл в папке автозагрузки Windows, что гарантирует повторный запуск вредоносного ПО при старте системы или при входе пользователя.
«Сценарии BAT выполняют полную цепочку атак, включая загрузку полезной нагрузки и её выполнение в памяти», — указывается в отчёте.
Технический разбор
Основные технические приёмы, отмеченные в отчёте:
- BAT‑скрипты запускают PowerShell для доставки полезной нагрузки «в память» (in‑memory execution), что затрудняет её выявление через файловый мониторинг;
- Компонент loader намеренно отключает регистрацию событий (event logging) и выполняет встроенную полезную нагрузку непосредственно в памяти;
- Методы избегания обнаружения включают расшифровку и выполнение .NET исполняемых файлов и/или выполнение shellcode с помощью функций вроде VirtualProtect и delegates;
- RATs — XWorm и Remcos — обладают расширенным набором функций: keylogging, удалённое выполнение команд, data exfiltration и удалённое управление системой;
- Механизмы доставки и исполнения подстраиваются под меры защиты и остаются устойчивыми к стандартным методам обнаружения.
Эволюция вектора доставки: SVG + JavaScript
Вторая кампания демонстрирует заметную эволюцию приёмов злоумышленников. В качестве носителя вредоносного кода используются файлы SVG, в которые встроен JavaScript. Такие файлы маскируются под обычные изображения, но при открытии в уязвимых средах или при загрузке с фишинговых веб‑страниц встроенный скрипт может инициировать автоматическую загрузку вредоносных ZIP‑архивов.
Использование SVG с JavaScript подчёркивает адаптивность противника: переход от очевидных исполняемых файлов к форматам, которые традиционно воспринимаются как безопасные и реже проверяются механизмами безопасности.
Что это означает для организаций и пользователей
Основные выводы и практические последствия:
- Злоумышленники целенаправленно комбинируют простые по реализации методы (ZIP, BAT) с технологиями обхода защиты (in‑memory execution, отключение логирования), что повышает эффективность атак;
- Появление SVG+JavaScript как вектора доставки означает, что традиционные правила блокировки исполняемых файлов недостаточны — нужно учитывать и менее очевидные форматы;
- RATs с расширенными возможностями представляют серьёзную угрозу для конфиденциальности и целостности данных организации — от кражи учётных данных до полного удалённого контроля над устройствами.
Рекомендации по защите
Практические шаги, которые помогут снизить риск заражения:
- Ограничить исполнение скриптов: применять политики AppLocker/WDAC и блокировать запуск BAT и неподписанных скриптов из папок загрузки;
- Контролировать и анализировать использование PowerShell: включить Script Block Logging, Module Logging и проверку командной строки PowerShell через SIEM;
- Включить и мониторить средства защиты от выполнения в памяти (EDR), обращая внимание на поведенческие индикаторы: загрузка ресурсов в память, вызовы VirtualProtect, выполнение shellcode;
- Усилить почтовую и веб‑фильтрацию: блокировать вложения ZIP/HTML/SVG с активными скриптами или неизвестным содержимым;
- Отключить автоматическое выполнение скриптов в приложениях, которые просматривают изображения и документы; обновлять ПО для устранения уязвимостей, через которые SVG‑скрипты могут исполняться;
- Резервировать важные данные и регулярно проверять целостность систем; проводить обучение сотрудников по распознаванию фишинга и социальной инженерии.
Итог
Анализ недавних кампаний показывает, что злоумышленники не отказываются от простых, но эффективных методов доставки, одновременно совершенствуя техники обхода обнаружения. Комбинация BAT‑загрузчиков, in‑memory execution и маскировки под безопасные форматы (SVG с JavaScript) делает угрозу динамичной и сложной для борьбы. Организациям следует пересмотреть защитные политики, усилить мониторинг поведения и учитывать расширенные векторы доставки при оценке рисков.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Изощренное использование BAT-загрузчиков для распространения XWorm и Remcos".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.