- 24,254
- 46
- 8 Ноя 2022
Доверие ко входящей почте ещё никогда не стоило так дорого.
Вредоносная кампания «Dead#Vax» показывает, как злоумышленники всё чаще обходят защиту не за счёт редких уязвимостей, а благодаря цепочкам из привычных форматов и встроенных инструментов Windows. В свежем разборе команда Securonix описала атаку , в которой вредоносная нагрузка почти не оставляет следов на диске и разворачивается в памяти, маскируясь под обычные процессы.
По данным Securonix, заражение начинается с фишингового письма , стилизованного под деловую переписку от поставщика Progressive Components. В сообщении используется подмена отображаемого адреса и ссылка на файл, который выдаётся за документ, но на деле представляет собой контейнер виртуального диска VHD, размещённый через шлюз IPFS. Такой подход помогает пройти почтовые проверки и снижает подозрения, а файлы внутри смонтированного диска не получают метку «Mark-of-the-Web», из-за чего Windows воспринимает их как локальные.
После монтирования VHD жертве показывают файл с двойным расширением, замаскированный под PDF, но выполненный в формате WSF. Скрипт запускает следующую стадию и извлекает пакетный файл, при этом содержимое собирается из фрагментов и расшифровывается только во время выполнения. Далее запускается сильно запутанный batch-код, который подменяет тысячи переменных, проверяет окружение на признаки анализа и виртуализации, а затем читает собственный файл, чтобы вытащить спрятанный в конце зашифрованный блок.
Ключевая особенность цепочки в том, что дальнейшие действия выполняются через PowerShell без сохранения расшифрованного исполняемого файла на диск. Загрузка конечной полезной нагрузки идёт в виде зашифрованного x64 шелл-кода, который внедряется в доверенные, подписанные Microsoft процессы с помощью стандартных Win32-вызовов. В отчёте также отмечен маркер «DE AD BE CA FE BA EF», который используется для предотвращения повторного внедрения в уже заражённый процесс и помогает атаке оставаться стабильной.
Динамический анализ, на который ссылается Securonix, показал, что итоговым компонентом выступает «AsyncRAT» — удалённый инструмент управления , пригодный для длительного скрытого контроля, наблюдения и последующих действий в сети. В качестве мер защиты авторы рекомендуют внимательнее относиться к ссылкам на образы дисков вроде VHD и включать отображение расширений файлов, а также усиливать мониторинг сценариев и событий внедрения кода в процессы на уровне журналирования и телеметрии.
Вредоносная кампания «Dead#Vax» показывает, как злоумышленники всё чаще обходят защиту не за счёт редких уязвимостей, а благодаря цепочкам из привычных форматов и встроенных инструментов Windows. В свежем разборе команда Securonix описала атаку , в которой вредоносная нагрузка почти не оставляет следов на диске и разворачивается в памяти, маскируясь под обычные процессы.
По данным Securonix, заражение начинается с фишингового письма , стилизованного под деловую переписку от поставщика Progressive Components. В сообщении используется подмена отображаемого адреса и ссылка на файл, который выдаётся за документ, но на деле представляет собой контейнер виртуального диска VHD, размещённый через шлюз IPFS. Такой подход помогает пройти почтовые проверки и снижает подозрения, а файлы внутри смонтированного диска не получают метку «Mark-of-the-Web», из-за чего Windows воспринимает их как локальные.
После монтирования VHD жертве показывают файл с двойным расширением, замаскированный под PDF, но выполненный в формате WSF. Скрипт запускает следующую стадию и извлекает пакетный файл, при этом содержимое собирается из фрагментов и расшифровывается только во время выполнения. Далее запускается сильно запутанный batch-код, который подменяет тысячи переменных, проверяет окружение на признаки анализа и виртуализации, а затем читает собственный файл, чтобы вытащить спрятанный в конце зашифрованный блок.
Ключевая особенность цепочки в том, что дальнейшие действия выполняются через PowerShell без сохранения расшифрованного исполняемого файла на диск. Загрузка конечной полезной нагрузки идёт в виде зашифрованного x64 шелл-кода, который внедряется в доверенные, подписанные Microsoft процессы с помощью стандартных Win32-вызовов. В отчёте также отмечен маркер «DE AD BE CA FE BA EF», который используется для предотвращения повторного внедрения в уже заражённый процесс и помогает атаке оставаться стабильной.
Динамический анализ, на который ссылается Securonix, показал, что итоговым компонентом выступает «AsyncRAT» — удалённый инструмент управления , пригодный для длительного скрытого контроля, наблюдения и последующих действий в сети. В качестве мер защиты авторы рекомендуют внимательнее относиться к ссылкам на образы дисков вроде VHD и включать отображение расширений файлов, а также усиливать мониторинг сценариев и событий внедрения кода в процессы на уровне журналирования и телеметрии.
- Источник новости
- www.securitylab.ru
