Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Конвертер-трояны: рекламные кампании, RAT и защита Windows

11
3 мин
Отчет описывает серию вредоносных кампаний, в основе которых лежат трояны удаленного доступа (RAT), и уделяет особое внимание способам распространения — главным образом через вредоносную рекламу. Пользователь, случайно кликнувший на рекламный баннер, может быть перенаправлен на поддельное приложение-конвертер, которое маскируется под законное ПО и служит «дроппером» для дальнейших вредоносных нагрузок. Схема распространения повторяется по схожему сценарию: В качестве иллюстрации в отчете приводится пример файла ConvertMate.exe, распространяющегося через домен conmateapp.com. После запуска этот файл попадает в данные локального приложения пользователя и служит отправной точкой для дальнейшей компрометации. Организациям важно отслеживать специфические события и внедрять средства детектирования: Для снижения риска запуска подобных вредоносных программ рекомендуется комбинировать несколько мер контроля: В отчете упомянут инструмент THOR, который помогает оптимизировать обнаружение и анализ
Оглавление

Отчет описывает серию вредоносных кампаний, в основе которых лежат трояны удаленного доступа (RAT), и уделяет особое внимание способам распространения — главным образом через вредоносную рекламу. Пользователь, случайно кликнувший на рекламный баннер, может быть перенаправлен на поддельное приложение-конвертер, которое маскируется под законное ПО и служит «дроппером» для дальнейших вредоносных нагрузок.

Механизм заражения

Схема распространения повторяется по схожему сценарию:

  • Вредоносная реклама перенаправляет на сайт с поддельным конвертером.
  • Пользователь устанавливает приложение, думая, что это легитимное ПО.
  • Установленный исполняемый файл функционирует как дроппер, развёртывая дополнительные полезные нагрузки и устанавливая связь с C2 (сервером управления).
  • Для устойчивого присутствия на системе злоумышленники создают запланированные задачи, указывающие на вредоносные исполняемые файлы, размещённые в каталогах, доступных для записи пользователю.

Конкретный пример: ConvertMate.exe

В качестве иллюстрации в отчете приводится пример файла ConvertMate.exe, распространяющегося через домен conmateapp.com. После запуска этот файл попадает в данные локального приложения пользователя и служит отправной точкой для дальнейшей компрометации.

Технические особенности и индикаторы

  • Многие компоненты написаны на C# и подлежат декомпиляции, что упрощает последующий анализ.
  • Злоумышленники используют сертификаты подписи кода, чтобы придать исполняемым файлам видимость доверенных — при этом многие сертификаты были отозваны.
  • Ключевой техникой устойчивости является создание запланированных задач Windows, которые указывают на исполняемые файлы в пользовательских профилях и других каталогах с правом записи.
  • Поведение дроппера: развёртывание дополнительных полезных нагрузок, установка связи с C2 и маскировка активности, чтобы оставаться незамеченным пользователем.

Рекомендации по обнаружению

Организациям важно отслеживать специфические события и внедрять средства детектирования:

  • Мониторинг событий Windows, связанных с созданием задач — в частности, обращать внимание на Event ID 4698 (создание запланированной задачи).
  • Развёртывание и настройка дополнительных средств журналирования, таких как Sysmon, для подробного аудита активности процессов, создания файлов и сетевых связей.
  • Анализ исполняемых файлов на предмет подписи и статуса сертификатов (отозван/действителен).

Превентивные меры и контроль запуска приложений

Для снижения риска запуска подобных вредоносных программ рекомендуется комбинировать несколько мер контроля:

  • Внедрение allowlisting с помощью технологий вроде AppLocker или Windows Defender Application Control (WDAC), чтобы запрещать запуск исполняемых файлов из каталогов профилей пользователей.
  • Ограничение возможности записи и запуска исполняемых файлов из пользовательских директорий, если это возможно по политике организации.
  • Регулярное обновление и проверка политик безопасности и правил подписей приложений.

Инструменты для расследования

В отчете упомянут инструмент THOR, который помогает оптимизировать обнаружение и анализ таких инфекций. Он упрощает рабочий процесс расследования и позволяет аналитикам быстро выявлять первоначальные признаки компрометации без глубокого ручного перебора журналов.

Вывод

Главная угроза этих кампаний — использование привычного и, на первый взгляд, безобидного сценария (конвертеры, реклама) для доставки сложного вредоносного ПО. Ключевые рекомендации — внимательно отслеживать создание запланированных задач и подозрительной активности, использовать расширенное журналирование и внедрять строгие механизмы контроля запуска приложений (AppLocker/WDAC). При этом возможности декомпиляции компонентов на C# и применение инструментов вроде THOR делают расследование эффективнее и помогают быстрее остановить распространение инфекции.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Конвертер-трояны: рекламные кампании, RAT и защита Windows".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.

Кибербезопасность
25,6 тыс интересуются