Доверие — валюта дураков. Хакеры обрушили её курс до нуля за один день

Группа киберпреступников использует популярное ПО ConnectWise ScreenConnect для создания вредоносного ПО с цифровой подписью, что позволяет им скрытно устанавливать удалённый доступ на устройства жертв. Об этом сообщили специалисты компании G DATA, обнаружившие новую схему злоупотребления механизмом цифровой подписи в установщике ScreenConnect.

ConnectWise ScreenConnect представляет собой инструмент удалённого управления, который широко используется администраторами и сервисными компаниями для диагностики и настройки устройств. Однако именно его возможности настройки и встраивания параметров внутри цифровой подписи открыли хакерам неожиданный путь для атак.

Когда устанавливается ScreenConnect, администратор может заранее определить адрес сервера для подключения, тексты в диалоговых окнах и даже логотипы. Все эти данные помещаются внутрь так называемой Authenticode-подписи — это элемент файла, обеспечивающий проверку его подлинности. Хакеры научились модифицировать именно этот участок, подменяя параметры на свои, но сохраняя действующую цифровую подпись, что делает вредоносное ПО внешне легитимным.

Техника получила название «authenticode stuffing» — она позволяет внедрять конфигурацию в сертификатную таблицу без нарушения структуры подписи. В результате изменённый файл выглядит как подлинный, а стандартные механизмы проверки не срабатывают.

По данным G DATA, первые случаи использования такой схемы были выявлены среди пользователей форума BleepingComputer, которые жаловались на заражение после открытия фишинговых писем. Позднее аналогичные жалобы появились и на Reddit. В этих атаках преступники использовали поддельные PDF-файлы или страницы сервиса Canva, перенаправляющие пользователей на загрузку вредоносного установщика, размещённого на серверах Cloudflare R2.

Пример одного из таких файлов — «Request for Proposal.exe» — оказался замаскированной версией ScreenConnect, настроенной на автоматическое подключение к серверу злоумышленников по адресу 86.38.225[.]6:8041. Для усиления обмана преступники изменяли внешний вид установщика: вместо стандартного окна отображалось изображение обновления Windows, а заголовок программы подменялся на «Windows Update».

Таким образом, жертва видела якобы обновление системы, но на деле происходила установка полноценного инструмента удалённого доступа, позволяющего злоумышленникам контролировать заражённое устройство.

Компания G DATA разработала собственный инструмент для анализа таких модифицированных установщиков. Благодаря этому были обнаружены значительные подмены в параметрах, что подтвердило целенаправленный характер атак.

После обращения специалистов к ConnectWise цифровой сертификат, использовавшийся в вредоносных сборках, был отозван. Само вредоносное ПО классифицируется как Win32.Backdoor.EvilConwi.* и Win32.Riskware.SilentConwi.*. Однако, как отметили в G DATA, реакции или комментариев от ConnectWise на официальное обращение пока не последовало.

В рамках похожей кампании под удар попало и другое корпоративное ПО — SonicWall NetExtender. Здесь хакеры распространяли троянизированные версии клиента для VPN-соединения, который при установке передавал учётные данные пользователей на сервер злоумышленников. В SonicWall подтвердили факт атак и напомнили, что загружать программное обеспечение следует исключительно с официального сайта, чтобы избежать подобных инцидентов.

Эти случаи демонстрируют новый опасный тренд — злоумышленники не просто создают поддельные копии программ, а изощрённо модифицируют легитимные продукты, внедряя в них вредоносный функционал, сохраняя при этом внешнюю легитимность, что значительно усложняет выявление угрозы.