Исследование фишинговой атаки против пользователей Microsoft Windows
Многоуровневая фишинговая атака на российских пользователей с применением программ-шифровальщиков и социальной инженерии.
По данным исследования Fortinet FortiGuard Labs атака инициируется путём социальной инженерии через электронные документы деловой тематики. Документы содержат визуально отвлекающие элементы: ложные поручения или уведомления о состоянии.
Отличительные признаки:
- распространение вредоносного ПО через публичные облачные сервисы. Например, GitHub преимущественно используется для хранения скриптов, тогда как двоичные компоненты размещаются на платформе Dropbox. Диверсификация затрудняет обнаружение угроз и обеспечивает дополнительную стойкость операции. - активное применение программы defendnot для обхода механизма Microsoft Defender. Инструмент позволяет злоумышленникам вводить в заблуждение средства безопасности операционной системы Windows, создавая иллюзию наличия другого антивирусного решения.
Этапы заражения системы:
Рассылка архива с заражёнными файлами. Ярлык Windows (.lnk) сопровождается документом-подделкой, замаскированным под обычный текстовый файл («задание_для_бухгалтерии.txt»). Однако при активации этот ярлык выполняет сценарий PowerShell, запрашивая последующие инструкции из GitHub-хранилища («github[.]com/Mafin111/MafinREP111»), чтобы обеспечить дальнейшую эксплуатацию цели.
После открытия документа система незаметно отправляет уведомление оператору атаки через Telegram Bot API, сигнализируя об успешном выполнении начального этапа заражения.
Активация второго компонента через отсроченную паузу длительностью около семи минут, обеспечивая дополнительный уровень сложности детектирования угрозы.
Visual Basic-скрипт представляет собой сложный контроллер, собирающий следующую стадию полезной нагрузки прямо в оперативной памяти, не оставляя следов на жестком диске.
Завершающая стадия сценария осуществляет проверку уровня привилегий своего запуска, и если они недостаточны, многократно вызывает запросы UAC (User Account Control), вынуждая жертву повысить права доступа. Интервал между попытками составляет примерно три секунды.
Далее вредоносная программа приступает к выполнению комплекса мероприятий, нацеленных на уменьшение видимости, отключение защитных механизмов, сбор разведывательной информации, препятствие восстановлению системы и последующую установку основной полезной нагрузки.
Меры для снижения риска обнаружения:
- Настройка исключений в Microsoft Defender, чтобы предотвратить сканирование критически важных папок, таких как ProgramData, Program Files, рабочий стол, загрузки и временные директории. - Использование PowerShell для деактивации ряда функций безопасности Defender. - Установка и регистрация инструмента defendnot, создающего иллюзию присутствия стороннего антивирусного продукта в Центре безопасности Windows, вследствие чего Defender сам отключается.
Для проведения разведки и мониторинга среды применяется модуль на базе .NET, регулярно осуществляющий захват экранных снимков с интервалом в полминуты. Получаемые снимки сохраняются в виде PNG-изображений и передаются злоумышленникам через Telegram-бота.
Носитель вируса изменяет настройки реестра, ограничивая возможности администрирования и диагностики операционной системы Windows.
Завершающим этапом является внедрение механизма переопределения ассоциаций файлов, согласно которому открытие определенных типов файлов вызывает появление подсказки с рекомендацией обратиться к злоумышленнику через Telegram.
Основной нагрузкой после успешной дезактивации защиты и инструментов восстановления становится Amnesia RAT («svchost.scr») — инструмент похищения данных и дистанционного управления устройством.
Загружаемый из хранилища Dropbox, вредонос способен похитить конфиденциальную информацию из браузера, криптокошельков, популярных приложений (Discord, Steam, Telegram), а также собирать сведения о системе, снимать фотографии с камеры, записывать звук с микрофона, перехватывать содержимое буфера обмена и получать название текущего открытого окна приложения.
Троян удаленного доступа Amnesia RAT обеспечивает полный контроль над инфицированной машиной, позволяя злоумышленникам просматривать активные процессы, завершать их, исполнять shell-команды, загружать другие вредные модули и запускать дополнительное вредоносное программное обеспечение.
Передача украденных данных осуществляется главным образом через защищённый протокол HTTPS с использованием Telegram Bot API. Если объем передаваемых сведений значительный, файлы выгружаются на сторонние файловые серверы, такие как GoFile, а ссылки отправляются через Telegram.
Аmnesia RAT обладает широким спектром возможностей, включая хищение учетных данных, перехват сессий, совершение финансовых преступлений и непрерывный мониторинг системы в реальном времени, что делает его мощным средством для захвата учетных записей и дальнейших кибератак.
Второй компонент вредоносного ПО, поставляемый вместе с RAT, представляет собой шифровальщика, основанного на инструменте Hakuna Matata. Его задачей является зашифровка широкого спектра файлов на устройстве жертвы, таких как документы, архивы, мультимедиа, коды программ и ресурсные файлы приложений. Перед началом процесса шифрования скрипт завершает потенциально мешающие процессы.
Дополнительно шифровальщик следит за состоянием буфера обмена, незаметно подменяя адресные строки крипто-кошельков пользователя своими собственными, перенаправляя платежи в пользу преступников. По завершении процедуры шифрования система блокируется программой WinLocker, лишая пользователя доступа к своим ресурсам.
Эти шаги подчеркивают способность современных вирусов проникнуть глубоко внутрь инфраструктуры без использования уязвимостей, используя лишь встроенные механизмы Windows и стандартные инструменты администрирования. В итоге защита конечных устройств оказывается нейтрализованной, открывая путь для внедрения шпионского ПО и других деструктивных компонентов.
Microsoft настоятельно рекомендует усилить меры защиты, включив блокировки несанкционированного вмешательства в настройки центра безопасности Windows, а также внимательно следить за изменениями в поведении Zащитника Windows и возможными аномалиями в вызовах его API.
Злоумышленник UNG0902 проводил атаку на подразделения кадровых служб, отдела расчетов зарплаты и внутреннего администрирования российских предприятий, внедряя специализированный имплантат под названием DUPERUNNER, предназначенный для последующей загрузки системы управления и контроля AdaptixC2. Эта целенаправленная фишинговая кампания, известная как Operation DupeHike, началась ещё в ноябре 2025 года.
Атака основывается на использовании поддельных документов, связанных с выплатой премий сотрудникам и внутренними финансовыми правилами компании, с целью склонить получателя к открытию вредоносного файла формата LNK внутри ZIP-архива, приводящего к запуску DUPERUNNER.
Получив доступ к внешней сети, имплант подключается к внешнему серверу, откуда получает и отображает фейковый PDF-документ, одновременно выполняя процедуру оценки характеристик системы и загрузки системы управления AdaptixC2 в фоновом режиме.
За последнее время было зафиксировано участие в аналогичных атаках на российские предприятия другого злоумышленника, называемого Paper Werewolf (также известный как GOFFEE), который активно применял искусственно генерируемые приманки и библиотеки DLL, компилируемые как дополнения Excel XLL, для доставки бекдора под названием EchoGather.
После старта вредоносная программа занимается сбором информации о системе, устанавливает соединение с заранее прописанным управляющим сервером (C2) и поддерживает исполнение команд и передачу файлов. Общение с центром управления осуществляется через протокол HTTP(S) с использованием стандартного компонента WinHTTP API.
Мы внедряем системы информационной безопасности в Свердловской области и Севастополе!
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.
Оставьте свой контакт на главной странице и мы поможем с решением проблемы любой сложности!