Кампания ClickFix: стеганография в PNG, LummaC2 и Rhadamanthys

Анализ выявляет многоэтапную и технически изощрённую кампанию вредоносного ПО, в центре которой — использование приманок ClickFix и нестандартная стеганография для сокрытия полезной нагрузки в файлах изображений. В результате атак наблюдалось развёртывание бэкдоров и инструментов сбора информации, включая LummaC2 и Rhadamanthys.

Ключевые выводы

• Атакующие применяют стеганографию в файлах PNG, внедряя вредоносный код непосредственно в пиксельные данные.
• Полезная нагрузка реконструируется и расшифровывается в памяти с использованием определённых цветовых каналов.
• Цепочка атаки многоступенчатая: от взаимодействия жертвы с вредоносным сайтом до инжекции шеллкода в целевой процесс.
• Для маскировки и обхода анализа используются стандартные системные инструменты и техники: mshta.exe, JScript, загрузчики на PowerShell и .NET-сборки, а также утилита Donut для упаковки извлечённых модулей.
• Приманки демонстрируют минимальную запутанность и содержат комментарии на русском языке, что может помочь в дальнейшей корреляции инцидентов.

Как работает кампания — поэтапная последовательность

Атака разворачивается в несколько четко структурированных этапов:

1. Начальное заражение: жертва переходит на вредоносный веб-сайт — приманку ClickFix. Для запуска начальной полезной нагрузки используется mshta.exe, который исполняет JScript.
2. Загрузчик на PowerShell: далее включается загрузчик на PowerShell, который загружает последующие модули и применяет «junk code» для усложнения анализа.
3. .NET-лоадер и стеганография: третья стадия — .NET-сборка, выполняющая роль загрузчика. Фактический шеллкод скрыт в зашифрованном файле PNG и извлекается с помощью пользовательского стеганографического алгоритма.
4. Извлечение и исполнение шеллкода: изображение расшифровывается, вредоносный код извлекается из определённых цветовых каналов и вводится в целевой процесс (например, explorer.exe) с использованием методики отражательной загрузки вторичной сборки.
5. Упаковка и последующие модули: извлечённые полезные файлы упакованы с помощью Donut, что облегчает скрытую загрузку и исполнение дополнительных компонентов, включая LummaC2 и Rhadamanthys.

Стеганография в PNG: что важно знать

Особенность кампании — инновационное внедрение шеллкода в пиксельные данные PNG-файлов. Атакующие используют кастомный алгоритм, который:

• зашифровывает полезную нагрузку перед встраиванием в изображение;
• располагает данные в специфичных цветовых каналах, что позволяет реконструировать и расшифровать код уже в памяти жертвы;
• ускользает от простых сигнатурных проверок, поскольку файл внешне остаётся валидным изображением.

Социальная инженерия и маскировка

Наблюдаются адаптивные варианты приманок. Одна из итераций имитирует экран обновления Windows, что вводит пользователя в заблуждение и побуждает выполнять вредоносные команды. Такой UI-обман повышает вероятность успешного выполнения сценария атаки.

«Эта итерация представляет собой убедительный пользовательский интерфейс, имитирующий законный экран обновления Windows» — ключевой элемент социальной инженерии в кампании.

Индикаторы и дополнительные заметки

• Активность включает использование mshta.exe, скриптов JScript, загрузчиков на PowerShell и .NET-лоадеров.
• Целевые процессы для инжекции — типично explorer.exe.
• Файлы-носители — зашифрованные PNG с пользовательской стеганографией.
• Упаковка модулей — Donut.
• Приманки содержат комментарии на русском языке — возможный ориентир при поиске связанных сайтов.

Рекомендации для защиты

• Мониторить запуск mshta.exe и аномальную активность PowerShell (включая нестандартные команды и загрузку двоичных модулей).
• Анализировать сетевой трафик и URL, связанные с приманками ClickFix, и оперативно блокировать подтверждённые домены.
• Проверять целостность и содержимое изображений (PNG) в критичных окружениях, обращая внимание на необычные метаданные и подозрительные паттерны в цветовых каналах.
• Контролировать инжекции в системные процессы (например, explorer.exe) и использование техник отражательной загрузки.
• Обучать пользователей распознаванию поддельных UI (например, фальшивых экранов обновления Windows) и политикам запрета запуска подозрительных исполняемых через UI-подобные элементы.

Кампания демонстрирует сочетание продвинутых технических приёмов и эффективной социальной инженерии. Такое сочетание повышает риск успешных компрометаций и требует от организаций как улучшения технических средств обнаружения, так и внимания к поведению пользователей.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Кампания ClickFix: стеганография в PNG, LummaC2 и Rhadamanthys".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.