Исследователи Securonix сообщили о новой многоступенчатой схеме заражения под кодовым именем VEIL#DROP. В ней злоумышленники используют Blogger и поддельный файл, похожий на документ, чтобы доставить инфостилер PureLogs на компьютеры под Windows.

Что произошло

Атака начинается с JavaScript-файла, который маскируется под PDF-документ — например, под transcript.pdf.js. Пользователь думает, что открыл обычный файл, но на деле запускается сценарий Windows Script Host, а затем — PowerShell с ослабленными ограничениями на выполнение.

По данным Securonix, начальные загрузки, вероятно, рассылают через целевой фишинг (от англ. phishing — выуживание) или через переход на скомпрометированный сайт. Дальше цепочка уводит жертву на страницу в Blogger, которую атакующие используют как промежуточный узел для следующего этапа.

Как устроена атака

Схема собрана так, чтобы ломать простые правила детектирования. PowerShell сначала скачивает следующий скрипт с Blogger, а затем под видом обычной веб-страницы, например Google, создает иллюзию открытия документа, пока вредоносный процесс идет в фоне.

Дальше начинается самое неприятное: скрипт пытается завершить wscript.exe, удаляет следы запуска, стирает transcript.pdf.js и расшифровывает встроенную полезную нагрузку через XOR. Затем загружает следующий компонент прямо в память — без сохранения на диск.

Исследователи отдельно отметили две техники. Первая — динамическая сборка адреса следующей стадии: для каждого запуска формируется новый URL на blogspot[.]com с разным числом слэшей. Вторая — мутация кода на лету: подставные значения заменяются случайными строками, чтобы сбить сигнатуры и хэш-проверки.

Если прямой запуск .NET-компонента не проходит, загрузчик переключается на запасной путь и использует подписанные Microsoft бинарники вроде regsvcs.exe, installutil.exe, msbuild.exe и aspnet_compiler.exe. Такой подход часто относят к living-off-the-land: атакующие прячутся за штатными утилитами системы, а не приносят отдельный исполняемый файл.

Для читателя это знакомая логика из других кампаний, где злоумышленники стараются выглядеть как обычная активность системы. Похожий прием с опорой на доверенные инструменты ранее разбирался в материале про операцию Endgame против инфраструктуры Amadey и StealC.

Кого затронуло и чем это грозит

Формально под ударом оказываются отдельные Windows-устройства, но ущерб обычно не ограничивается одним компьютером. PureLogs крадет пароли, сессионные данные, другую чувствительную информацию и может стать точкой входа в более глубокое проникновение в сеть.

Дальше атакующие используют уже добытые данные для бокового перемещения внутри инфраструктуры, закрепления в системе и, в ряде случаев, доступа к облачным сервисам компании. Именно поэтому даже единичное заражение нельзя считать локальной проблемой.

Сама схема опасна еще и тем, что почти не оставляет файловых следов. Без файлов на диске, с подменой адресов и с запуском через штатные инструменты традиционным средствам защиты сложнее быстро связать события в одну атаку.

Что делать сейчас

Если вы работаете в Windows-среде, не открывайте файлы с двойными расширениями и не запускайте JavaScript-документы, пришедшие по почте или в мессенджере. Для корпоративных систем важны ограничения на запуск сценариев, контроль PowerShell и мониторинг того, какие штатные утилиты запускаются цепочкой друг за другом.

В публичных сетях и чужих устройствах лучше вообще не вводить рабочие пароли и не открывать чувствительные документы. Если вам нужен дополнительный слой защиты для онлайн-банкинга в чужой сети, можно рассмотреть [защиту трафика для публичных сетей]https://freedome.space как один из вспомогательных инструментов, но он не заменяет антивирус, обновления и осторожность.

Полезно также сверить настройки браузера, включить фильтрацию вложений и ограничить макросы и скрипты там, где это допустимо политиками компании. Если атака уже коснулась рабочей станции, сначала изолируйте ее от сети, затем смените пароли и проверьте остальные устройства, которые могли получить доступ к тем же учетным данным.

  • Проверьте, не приходили ли вам файлы с двойным расширением вроде .pdf.js
  • Не запускайте вложения из писем от незнакомых отправителей
  • Ограничьте запуск PowerShell и сценариев на рабочих компьютерах
  • Отследите подозрительные обращения к Blogger и другим доверенным площадкам
  • Проверьте, не запускались ли wscript.exe, msbuild.exe и похожие системные утилиты без причины
  • Обновите антивирусные правила и включите поведенческий контроль
  • Если есть признаки заражения, срочно изолируйте устройство и смените пароли
Поделиться: