«Привет, я твой системный процесс»: как YiBackdoor становится невидимым для защиты Windows

leer en español

Zscaler ThreatLabz YiBackdoor IcedID Latrodectus svchost regsvr32 C2
«Привет, я твой системный процесс»: как YiBackdoor становится невидимым для защиты Windows
Zscaler ThreatLabz YiBackdoor IcedID Latrodectus svchost regsvr32 C2

Удалите все подозрительные записи в реестре, если не хотите лишиться данных.

image

Zscaler ThreatLabz в своём свежем отчёте раскрыла детали нового семейства вредоносного ПО под названием YiBackdoor, которое было впервые зафиксировано в июне 2025 года — с самого начала анализ показал значительные совпадения исходного кода с загрузчиками IcedID и Latrodectus, и именно эту связь Zscaler прямо указывает как ключ к пониманию возможного происхождения и роли нового образца в атаках.

Вредонос представляет собой модульную библиотеку DLL с базовым набором функций управления удалённым узлом и механизмом расширения через плагины; по умолчанию функционал ограничен, но злоумышленники могут закачивать дополнительные модули для увеличения возможностей.

Программа копирует себя в вновь созданную папку под случайным именем, добивается постоянства через ключ Windows Run и использует запуск regsvr32.exe с указанием вредоносного пути — имя записи в реестре генерируется псевдослучайным алгоритмом; затем первичный модуль самоуничтожается, что усложняет ответные меры и судебную экспертизу. На исполнение вредоносной логики влияет встроенная зашифрованная конфигурация, из которой извлекается адрес командно-управляющего сервера, а связь с C2 реализована через ответы HTTP, содержащие команды.

Возможности YiBackdoor включают сбор системных метаданных, создание скриншотов и выполнение команд оболочки с помощью cmd.exe и PowerShell, а также загрузку и инициализацию зашифрованных Base64-плагинов; ключевые команды, выявленные в механизме управления, перечисляются так — Systeminfo, screen, CMD, PWS, plugin, task. Техника внедрения кода предусматривает инъекцию в процесс svchost.exe, а встроенные приёмы антианализа ориентированы на выявление виртуальных машин и песочниц, что снижает вероятность срабатывания при исследовании в защищённой среде.

Аналитики Zscaler отмечают целый ряд совпадений с IcedID и Latrodectus: схожий метод инъекции, идентичный формат и длина ключа для расшифровки конфигурации, а также близкие алгоритмы дешифровки конфигурационных блоков и плагинов. Учитывая эти совпадения и наблюдаемую архитектуру, сотрудники компании оценивают с умеренно-высокой уверенностью, что за созданием YiBackdoor могут стоять те же разработчики, что ответственны за предыдущие загрузчики; при этом текущие развёртывания ограничены, что указывает на стадию разработки или тестирования и на возможную роль образца как предвестника последующих этапов эксплуатации, включая подготовку начального доступа для программ-вымогателей.

Организация подчёркивает важность мониторинга исходящих HTTP-запросов и контроля изменений в реестре, а также применения детектирующих правил, ориентированных на поведенческие признаки инъекции в svchost.exe и на аномалии, связанные с запуском regsvr32.exe из случайных путей — эти индикаторы позволяют своевременно заметить попытки внедрения YiBackdoor и ограничить дальнейшую активность злоумышленников.