По данным компании Securonix, схема атаки включает три ключевых компонента:
1) Загрузчик JavaScript, внедренный на сайт.
2) HTML-приложение (HTA), выполняющее шифрованные сценарии PowerShell посредством утилиты «mshta.exe».
3) Конечный сценарий PowerShell, предназначенный для установки основной части вредоносного программного обеспечения.
NetSupport RAT предоставляет злоумышленникам полный контроль над зараженным устройством, включая доступ к удаленному рабочему столу, управление файлами, исполнение команд, похищение данных и организацию прокси-серверов.
Цель атаки - корпоративные пользователи. Специалисты описали операцию по распространению ВПО как многоэтапную. В ней используются скрытые фреймы, загрузчики, многослойное выполнение скриптов для внедрения вредоноса и удаленного управления.
Заражение начинается со скрытых переадресаций, встроенных в скомпрометированные страницы. Они служат точкой входа для загрузчика JavaScript («phone.js»), извлекаемого с внешнего домена. Загрузчик анализирует устройство и определяет, нужно отображать полноэкранный iframe (если пользователь с мобильного устройства) или загрузить сценарий второй стадии (если пользователь с компьютера).
Скрытый iframe направляет жертву на вредоносный ресурс. Сам загрузчик оснащен механизмом слежения, чтобы вредоносная логика запустилась один раз, минимизируя риск выявления угрозы.
На первом этапе загруженный скрипт создает URL-адрес, откуда загружается и выполняется полезная нагрузка с помощью mshta.exe. Полезная нагрузка НТА – загрузчик промежуточного модуля PowerShell, который записывается на диск, расшифровывается и запускается в памяти, чтобы избежать обнаружения.
Файл НТА остается скрытым: интерфейс отключается, а само приложение автоматически сворачивается сразу после старта. После исполнения расшифрованной полезной нагрузки процесс сам ликвидирует временные файлы и прекращает собственную деятельность, чтобы минимизировать следы присутствия.
Главная задача полезной нагрузки PowerShell - получение и инсталляция NetSupport RAT, обеспечивая злоумышленникам полный контроль над взломанным хостом.
Сложность схемы и многослойность обхода защитных мер свидетельствуют о профессиональной разработке вредоносного ПО, требующей тщательного подхода к противодействию со стороны служб информационной безопасности. Исследователи призывают усилить меры предосторожности путем реализации жестких правил Content Security Policy (CSP), мониторинга активности скриптов, регистрации журналов PowerShell, ограничений на использование mshta.exe и анализа поведения системы для своевременного распознавания подобных атак.
1) Загрузчик JavaScript, внедренный на сайт.
2) HTML-приложение (HTA), выполняющее шифрованные сценарии PowerShell посредством утилиты «mshta.exe».
3) Конечный сценарий PowerShell, предназначенный для установки основной части вредоносного программного обеспечения.
NetSupport RAT предоставляет злоумышленникам полный контроль над зараженным устройством, включая доступ к удаленному рабочему столу, управление файлами, исполнение команд, похищение данных и организацию прокси-серверов.
Цель атаки - корпоративные пользователи. Специалисты описали операцию по распространению ВПО как многоэтапную. В ней используются скрытые фреймы, загрузчики, многослойное выполнение скриптов для внедрения вредоноса и удаленного управления.
Заражение начинается со скрытых переадресаций, встроенных в скомпрометированные страницы. Они служат точкой входа для загрузчика JavaScript («phone.js»), извлекаемого с внешнего домена. Загрузчик анализирует устройство и определяет, нужно отображать полноэкранный iframe (если пользователь с мобильного устройства) или загрузить сценарий второй стадии (если пользователь с компьютера).
Скрытый iframe направляет жертву на вредоносный ресурс. Сам загрузчик оснащен механизмом слежения, чтобы вредоносная логика запустилась один раз, минимизируя риск выявления угрозы.
На первом этапе загруженный скрипт создает URL-адрес, откуда загружается и выполняется полезная нагрузка с помощью mshta.exe. Полезная нагрузка НТА – загрузчик промежуточного модуля PowerShell, который записывается на диск, расшифровывается и запускается в памяти, чтобы избежать обнаружения.
Файл НТА остается скрытым: интерфейс отключается, а само приложение автоматически сворачивается сразу после старта. После исполнения расшифрованной полезной нагрузки процесс сам ликвидирует временные файлы и прекращает собственную деятельность, чтобы минимизировать следы присутствия.
Главная задача полезной нагрузки PowerShell - получение и инсталляция NetSupport RAT, обеспечивая злоумышленникам полный контроль над взломанным хостом.
Сложность схемы и многослойность обхода защитных мер свидетельствуют о профессиональной разработке вредоносного ПО, требующей тщательного подхода к противодействию со стороны служб информационной безопасности. Исследователи призывают усилить меры предосторожности путем реализации жестких правил Content Security Policy (CSP), мониторинга активности скриптов, регистрации журналов PowerShell, ограничений на использование mshta.exe и анализа поведения системы для своевременного распознавания подобных атак.
Мы внедряем системы информационной безопасности в Свердловской области и Севастополе!
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.
+7 (343) 222-13-32 — Екатеринбург
+7 (978) 214 29 87 — Севастополь
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.
+7 (343) 222-13-32 — Екатеринбург
+7 (978) 214 29 87 — Севастополь