Тысяча C2-серверов, двести фейковых вендоров — HeartCrypt построил индустрию маскировки вредоносов за год

На киберпреступном рынке появился инструмент, который за короткое время успел стать массовым оружием для десятков группировок. Речь идёт о HeartCrypt — сервисе упаковки вредоносных программ, маскирующем их под привычные легитимные приложения. Специалисты Sophos проследили его активность и выяснили, что через этот механизм злоумышленники распространяют стилеры, RAT-трояны и даже утилиты для отключения защитных решений, используя одни и те же приёмы социальной инженерии и подмены программного кода.

Специалисты собрали тысячи образцов и обнаружили почти тысячу серверов управления, более двухсот подложных вендоров и кампании на нескольких континентах. По характеру действий исследователи связали большинство инцидентов с этой операцией. Внешне всё похоже на знакомый инцидент — поддельные письма, архивы с паролями, хранилища Google Drive и Dropbox — но под маской обычных приложений прячется сложный механизм внедрения и запуска вредоносных модулей.

Техника проста и эффективна. В легитимные EXE и DLL внедряется позиционно-независимый код, который выполняется сразу из секции .text; в ресурсах добавляются файлы с заголовком BMP, за которым следует зашифрованный полезный модуль. Шифрование реализовано через XOR с фиксированным ASCII-ключом — он часто виден повторяющимся в «хвосте» ресурса.

Первичный код раскручивает второй уровень, обходя анализаторы большим количеством прыжков и мусорных байтов, проверяет окружение по фиктивным импортам и по функциям, характерным для эмуляторов, и при нормальных условиях восстанавливает и запускает payload при помощи стандартных API: CreateProcessW, VirtualAlloc, GetThreadContext, NtCreateThreadEx и CreateRemoteThread. Для устойчивости файл копируется в «тихое» место на диске, раздувается нулями до сотен мегабайт и прописывается в автозагрузку.

Кампании демонстрируют типичные для рынка приемы социальной инженерии. В Италии рассылки о нарушении авторских прав вели на Dropbox через сокращатель t.ly; в архивах оказывался PDF-ридер и подменённая DLL, итогом стала вариация Lumma Stealer с набором C2 на доменах .sbs и .cyou. В Колумбии злонамеренные ZIP-файлы в Google Drive защищались паролем, указанный код «7771» использовался для распаковки, после чего устанавливался AsyncRAT; в других эпизодах «PDF» оказывался LNK-якорем, запускал PowerShell и ставил Rhadamanthys. Имена файлов умышленно локализуются — от испаноязычных уведомлений до французских и корейских меток — чтобы повысить шанс открытия у получателя.

Особая тревога связана с появлением среди payload'ов инструмента для отключения средств защиты — AVKiller. Его обнаруживали рядом с операциями программ-шифровальщиков: в одном случае вредоносный модуль, упакованный HeartCrypt, загружал AVKiller, защищённый VMProtect и снабжённый драйвером с компрометированной подписью; в другом — наблюдались признаки кооперации между разными группами, что делает ситуацию ещё более опасной для окружения пострадавших. Масштаб и разнообразие нагрузок показывают: HeartCrypt не одинок в экосистеме, однако его доступность и простота настройки превращают сервис в надёжный инструмент для злоумышленников.

Главные выводы просты: упаковщик маскирует вредоносный код под привычные программы, использует простое, но надёжное шифрование, эксплуатирует доверие к облачным хранилищам и сокращателям ссылок, а конечные полезные нагрузки варьируются от стандартных стилеров до утилит, выводящих из строя защиту, что значительно повышает риск последующей шифровальной кампании. Защите остаётся смотреть на индикаторы компрометации ресурсов и мест внедрения, отслеживать необычные APK/PE-ресурсы и блокировать подозрительные переходы к облачным ссылкам.