Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

FortiGuard Labs: сложная SEO‑poisoning кампания маскируется под DeepL

3 мин
FortiGuard Labs выявила кампанию вредоносного ПО, нацеленную на китайскоязычных пользователей с помощью техники sophisticated SEO poisoning. Злоумышленники подделывают легитимные сайты и распространяют заражённый установщик, который выглядит как официальный инсталлятор DeepL, но содержит несколько вредоносных компонентов, предназначенных для скрытого выполнения и закрепления в системе жертвы. Атака распространяется через поддельные страницы поисковой выдачи и вредоносные ссылки. При скачивании пользователя подсовывают MSI-установщик, в котором вместе с легальным ПО поставляется вредоносный DLL-файл EnumW.dll и дополнительные компоненты. Типичный сценарий установки: EnumW.dll использует комплекс механизмов для того, чтобы избежать обнаружения в средах анализа и виртуальных машинах: Другой компонент, vstdlib.dll, создаёт раздел реестра с именем SoftwareDeepSer и содержит расшифрованный шелл‑код, связанный со значением MyData. Этот шелл‑код извлекает окончательную полезную нагрузку — испо
Оглавление

FortiGuard Labs выявила кампанию вредоносного ПО, нацеленную на китайскоязычных пользователей с помощью техники sophisticated SEO poisoning. Злоумышленники подделывают легитимные сайты и распространяют заражённый установщик, который выглядит как официальный инсталлятор DeepL, но содержит несколько вредоносных компонентов, предназначенных для скрытого выполнения и закрепления в системе жертвы.

Как происходит заражение

Атака распространяется через поддельные страницы поисковой выдачи и вредоносные ссылки. При скачивании пользователя подсовывают MSI-установщик, в котором вместе с легальным ПО поставляется вредоносный DLL-файл EnumW.dll и дополнительные компоненты.

Типичный сценарий установки:

  • Запуск MSI-инсталлятора повышает привилегии до уровня администратора;
  • Файлы извлекаются в системные директории, в том числе в C:ProgramData и C:Program Files (x86);
  • В составе пакета присутствуют несколько DLL, которые реализуют anti-analysis, загрузку и исполнение полезной нагрузки в памяти.

Методы антианализа и уклонения от обнаружения

EnumW.dll использует комплекс механизмов для того, чтобы избежать обнаружения в средах анализа и виртуальных машинах:

  • Проверка родительского процесса: DLL убеждается, что родительский процесс — msiexec.exe. Если родитель другой, модуль прекращает выполнение, делая вывод об анализе;
  • Тайминг-проверки HTTP-запросов для выявления изолированных сред;
  • Проверка таблиц ACPI для обнаружения признаков виртуализации;
  • Общие техники антианализа, останавливающие выполнение при подозрении на sandbox/VM.

Загрузка и выполнение полезной нагрузки

Другой компонент, vstdlib.dll, создаёт раздел реестра с именем SoftwareDeepSer и содержит расшифрованный шелл‑код, связанный со значением MyData. Этот шелл‑код извлекает окончательную полезную нагрузку — исполняемый файл — и выполняет её в памяти, чтобы минимизировать вероятность обнаружения средствами forensic-анализа.

Ключевые функции полезной нагрузки включают:

  • Функцию Heartbeat, где создаётся мьютекс для гарантии единственного экземпляра вредоносного ПО;
  • Генерацию значения gun.metric на основе локальной даты и времени, которое используется для установления соединений с сервером C2 и шифрования передаваемых данных;
  • Идентификацию запущенных решений безопасности для избегания конфликтов с защитными механизмами.

Механизмы связи и управления (C2)

После успешного соединения с сервером C2 вредоносное ПО осуществляет следующие действия:

  • Размещение файла‑маркера в общедоступном каталоге — наличие этого маркера влияет на дальнейшие меры закрепления в зависимости от установленного ПО;
  • Получение команд для мониторинга активности пользователя и эксфильтрации данных (логирование нажатий клавиш, сбор пользовательских данных и т.д.);
  • Исполнение команд из двух логических групп: одна отвечает за кражу данных, другая — за передачу результатов и управление задачами.

Возможные последствия и характер угрозы

Анализ указывает на высокую организованность злоумышленников: сочетание SEO‑поисковой кампании, подмены легитимного ПО и использования продвинутых методов уклонения делает эту кампанию особенно опасной для целевой аудитории — китайскоязычных пользователей. Основные риски включают:

  • Похищение учётных данных и другой конфиденциальной информации;
  • Скрытое длительное присутствие в системе благодаря запуску полезной нагрузки в памяти и техникам закрепления;
  • Ускоренное распространение за счёт доверия к известному названию программного продукта (DeepL).

Подытоживание

FortiGuard Labs обнаружили кампанию, которая «маскируется под законное программное приложение», объединяя вредоносный установщик с реальным программным обеспечением DeepL.

Исследование демонстрирует, что злоумышленники применяют сочетание social engineering (через SEO poisoning) и технически сложных приёмов для долгосрочного доступа и эксфильтрации данных. Это подчёркивает необходимость внимательности при загрузке ПО из интернета и актуальности антивирусных и поведенческих средств защиты.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "FortiGuard Labs: сложная SEO‑poisoning кампания маскируется под DeepL".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Кибербезопасность
25,6 тыс интересуются