- Автор темы
- #1
Исследователи Fortinet FortiGuard Labs зафиксировали многоступенчатую фишинговую кампанию, нацеленную на российских пользователей: злоумышленники распространяют малварь Amnesia RAT и шифровальщик.
Атаки начинаются с использования социальной инженерии. Жертвам присылают архив с деловыми документами, замаскированными под рутинную бухгалтерскую переписку или служебные задания. Эксперты пишут:
Содержимое архива
При запуске ярлык выполняет PowerShell-команду, которая скачивает скрипт первой стадии из GitHub-репозитория (github[.]com/Mafin111/MafinREP111). Скрипт маскирует свою работу: скрывает консоль PowerShell, создает фейковый документ в локальной папке пользователя и открывает его для отвода глаз. Пока жертва изучает приманку, малварь отправляет атакующим сообщение через Telegram Bot API о том, что первая фаза атаки прошла успешно.
Через 444 секунды после этого скрипт запускает обфусцированный VBScript (SCRRC4ryuk.vbe) из того же GitHub-репозитория. Это второй загрузчик, который собирает следующую стадию атаки прямо в памяти, не оставляя следов на диске.
Финальный скрипт проверяет уровень своих привилегий и, если их недостаточно, циклически показывает окно UAC, пока пользователь не согласится. После получения необходимых прав начинается методичная зачистка защитных механизмов Windows.
Схема атаки
После подготовительного этапа атакующие разворачивают в скомпрометированной системе два основных пейлоада. Первый — Amnesia RAT (загружается с Dropbox как svchost.scr). Этот троян ворует данные из браузеров, криптокошельков, Discord, Steam, Telegram, делает снимки с веб-камеры и записывает звук с микрофона.
Также малварь умеет перечислять и завершать процессы, выполнять команды, подгружать дополнительные модули. Кража данных осуществляется через HTTPS и Telegram Bot API, а большие объемы информации заливаются на GoFile с последующей передачей ссылок операторам кампании.
Второй пейлоад — шифровальщик из семейства Hakuna Matata. Этот вредонос шифрует документы, архивы, изображения, медиафайлы, исходный код и ресурсы приложений. Перед началом работы он завершает любые процессы, которые могут помешать шифрованию. Кроме того, шифровальщик подменяет адреса криптовалютных кошельков в буфере обмена на адреса, контролируемые атакующими, таким образом перенаправляя транзакции жертв.
Финальный аккорд атаки: запуск WinLocker для блокировки взаимодействия пользователя с системой. Следует отметить, что русский язык явно не является родным для злоумышленников.
Интерфейс WinLocker
Исследователи Fortinet выделяют две особенности в этой кампании. Во-первых, разделение инфраструктуры: скрипты хостятся на GitHub, бинарники — на Dropbox. Это усложняет блокировку и повышает устойчивость инфраструктуры атакующих. Во-вторых, злоупотребление defendnot — легитимным инструментом для отключения Defender. Его использование позволяет обойти защиту без эксплуатации каких-либо уязвимостей.
Атаки начинаются с использования социальной инженерии. Жертвам присылают архив с деловыми документами, замаскированными под рутинную бухгалтерскую переписку или служебные задания. Эксперты пишут:
Внутри архива содержатся несколько файлов-приманок и вредоносный ярлык Windows (LNK-файл) с двойным расширением вроде «Задание_для_бухгалтера_02отдела.txt.lnk». Расширение .txt создает иллюзию безобидного текстового документа.
Содержимое архиваПри запуске ярлык выполняет PowerShell-команду, которая скачивает скрипт первой стадии из GitHub-репозитория (github[.]com/Mafin111/MafinREP111). Скрипт маскирует свою работу: скрывает консоль PowerShell, создает фейковый документ в локальной папке пользователя и открывает его для отвода глаз. Пока жертва изучает приманку, малварь отправляет атакующим сообщение через Telegram Bot API о том, что первая фаза атаки прошла успешно.
Через 444 секунды после этого скрипт запускает обфусцированный VBScript (SCRRC4ryuk.vbe) из того же GitHub-репозитория. Это второй загрузчик, который собирает следующую стадию атаки прямо в памяти, не оставляя следов на диске.
Финальный скрипт проверяет уровень своих привилегий и, если их недостаточно, циклически показывает окно UAC, пока пользователь не согласится. После получения необходимых прав начинается методичная зачистка защитных механизмов Windows.
- Настройка исключений Microsoft Defender — из зоны проверки выводятся ProgramData, Program Files, Desktop, Downloads и системная временная папка.
- Отключение компонентов защиты через PowerShell.
- Злоупотребление утилитой defendnot — инструмент, изначально созданный исследователем es3n1n для тестирования, регистрирует фальшивый антивирус в Windows Security Center. Defender видит «конфликт» и отключается сам.
- Создание скриншота каждые 30 секунд — .NET-модуль с GitHub делает снимки экрана, сохраняет их как PNG и отправляет злоумышленникам через Telegram-бота.
- Блокировка административных инструментов Windows через изменения в реестре.
- Перехват файловых ассоциаций — при попытке открыть файлы с определенными расширениями пользователю показывают сообщение с требованием связаться с атакующими в Telegram.
Схема атакиПосле подготовительного этапа атакующие разворачивают в скомпрометированной системе два основных пейлоада. Первый — Amnesia RAT (загружается с Dropbox как svchost.scr). Этот троян ворует данные из браузеров, криптокошельков, Discord, Steam, Telegram, делает снимки с веб-камеры и записывает звук с микрофона.
Также малварь умеет перечислять и завершать процессы, выполнять команды, подгружать дополнительные модули. Кража данных осуществляется через HTTPS и Telegram Bot API, а большие объемы информации заливаются на GoFile с последующей передачей ссылок операторам кампании.
Второй пейлоад — шифровальщик из семейства Hakuna Matata. Этот вредонос шифрует документы, архивы, изображения, медиафайлы, исходный код и ресурсы приложений. Перед началом работы он завершает любые процессы, которые могут помешать шифрованию. Кроме того, шифровальщик подменяет адреса криптовалютных кошельков в буфере обмена на адреса, контролируемые атакующими, таким образом перенаправляя транзакции жертв.
Финальный аккорд атаки: запуск WinLocker для блокировки взаимодействия пользователя с системой. Следует отметить, что русский язык явно не является родным для злоумышленников.
Интерфейс WinLockerИсследователи Fortinet выделяют две особенности в этой кампании. Во-первых, разделение инфраструктуры: скрипты хостятся на GitHub, бинарники — на Dropbox. Это усложняет блокировку и повышает устойчивость инфраструктуры атакующих. Во-вторых, злоупотребление defendnot — легитимным инструментом для отключения Defender. Его использование позволяет обойти защиту без эксплуатации каких-либо уязвимостей.
Для противодействия злоупотреблению defendnot рекомендуется включить Tamper Protection (защита от несанкционированных изменений настроек Defender), а также отслеживать подозрительные обращения к API и изменения в работе служб Defender.