Исследователи Securonix сообщили о новой многоступенчатой схеме заражения под кодовым именем VEIL#DROP. В ней злоумышленники используют Blogger и поддельный файл, похожий на документ, чтобы доставить инфостилер PureLogs на компьютеры под Windows.
Что произошло
Атака начинается с JavaScript-файла, который маскируется под PDF-документ — например, под transcript.pdf.js. Пользователь думает, что открыл обычный файл, но на деле запускается сценарий Windows Script Host, а затем — PowerShell с ослабленными ограничениями на выполнение.
По данным Securonix, начальные загрузки, вероятно, рассылают через целевой фишинг (от англ. phishing — выуживание) или через переход на скомпрометированный сайт. Дальше цепочка уводит жертву на страницу в Blogger, которую атакующие используют как промежуточный узел для следующего этапа.
Как устроена атака
Схема собрана так, чтобы ломать простые правила детектирования. PowerShell сначала скачивает следующий скрипт с Blogger, а затем под видом обычной веб-страницы, например Google, создает иллюзию открытия документа, пока вредоносный процесс идет в фоне.
Дальше начинается самое неприятное: скрипт пытается завершить wscript.exe, удаляет следы запуска, стирает transcript.pdf.js и расшифровывает встроенную полезную нагрузку через XOR. Затем загружает следующий компонент прямо в память — без сохранения на диск.
Исследователи отдельно отметили две техники. Первая — динамическая сборка адреса следующей стадии: для каждого запуска формируется новый URL на blogspot[.]com с разным числом слэшей. Вторая — мутация кода на лету: подставные значения заменяются случайными строками, чтобы сбить сигнатуры и хэш-проверки.
Если прямой запуск .NET-компонента не проходит, загрузчик переключается на запасной путь и использует подписанные Microsoft бинарники вроде regsvcs.exe, installutil.exe, msbuild.exe и aspnet_compiler.exe. Такой подход часто относят к living-off-the-land: атакующие прячутся за штатными утилитами системы, а не приносят отдельный исполняемый файл.
Для читателя это знакомая логика из других кампаний, где злоумышленники стараются выглядеть как обычная активность системы. Похожий прием с опорой на доверенные инструменты ранее разбирался в материале про операцию Endgame против инфраструктуры Amadey и StealC.
Кого затронуло и чем это грозит
Формально под ударом оказываются отдельные Windows-устройства, но ущерб обычно не ограничивается одним компьютером. PureLogs крадет пароли, сессионные данные, другую чувствительную информацию и может стать точкой входа в более глубокое проникновение в сеть.
Дальше атакующие используют уже добытые данные для бокового перемещения внутри инфраструктуры, закрепления в системе и, в ряде случаев, доступа к облачным сервисам компании. Именно поэтому даже единичное заражение нельзя считать локальной проблемой.
Сама схема опасна еще и тем, что почти не оставляет файловых следов. Без файлов на диске, с подменой адресов и с запуском через штатные инструменты традиционным средствам защиты сложнее быстро связать события в одну атаку.
Что делать сейчас
Если вы работаете в Windows-среде, не открывайте файлы с двойными расширениями и не запускайте JavaScript-документы, пришедшие по почте или в мессенджере. Для корпоративных систем важны ограничения на запуск сценариев, контроль PowerShell и мониторинг того, какие штатные утилиты запускаются цепочкой друг за другом.
В публичных сетях и чужих устройствах лучше вообще не вводить рабочие пароли и не открывать чувствительные документы. Если вам нужен дополнительный слой защиты для онлайн-банкинга в чужой сети, можно рассмотреть [защиту трафика для публичных сетей]https://freedome.space как один из вспомогательных инструментов, но он не заменяет антивирус, обновления и осторожность.
Полезно также сверить настройки браузера, включить фильтрацию вложений и ограничить макросы и скрипты там, где это допустимо политиками компании. Если атака уже коснулась рабочей станции, сначала изолируйте ее от сети, затем смените пароли и проверьте остальные устройства, которые могли получить доступ к тем же учетным данным.
- Проверьте, не приходили ли вам файлы с двойным расширением вроде
.pdf.js - Не запускайте вложения из писем от незнакомых отправителей
- Ограничьте запуск PowerShell и сценариев на рабочих компьютерах
- Отследите подозрительные обращения к Blogger и другим доверенным площадкам
- Проверьте, не запускались ли
wscript.exe,msbuild.exeи похожие системные утилиты без причины - Обновите антивирусные правила и включите поведенческий контроль
- Если есть признаки заражения, срочно изолируйте устройство и смените пароли
Комментарии (0)
Будьте уважительны. Спам и ссылки на сторонние сервисы скрываются модерацией.
Пока комментариев нет. Вы можете быть первым.