Вы видите космос. PowerShell видит зашифрованный код. Ваш антивирус? Он видит обычный JPG. Все правы. Все ошибаются

В середине этого года специалисты компании Arctic Wolf обнаружили масштабную вредоносную кампанию, распространившуюся по Южной Америке, Африке и Восточной Европе. Её основой стал инструмент с бразильскими корнями под названием Caminho — универсальный загрузчик вредоносных программ, распространяемый по модели сервисной аренды. С момента своего появления он претерпел серьёзную эволюцию, а в июне получил новую возможность — маскировать вредоносный код внутри изображений с помощью LSB-стеганографии. Это позволило обходить традиционные средства защиты и расширить масштабы атак.

Изначально жертвы получали письма с архивами, внутри которых находились JavaScript- или VBScript-файлы, замаскированные под деловую переписку. После запуска они подгружали PowerShell-скрипты со сторонних сервисов наподобие «paste.ee». Эти скрипты, в свою очередь, загружали изображения с сайтов вроде «archive.org». На первый взгляд, это были обычные JPG или PNG-файлы — например, с космическими сценами, — но в их незаметных пикселях прятались зашифрованные исполняемые компоненты.

PowerShell-скрипты с помощью определённого набора байтов находили в графическом файле встроенный BMP-сегмент, извлекали оттуда зашифрованную .NET-библиотеку и загружали её прямо в память. Этот компонент — и есть загрузчик Caminho, способный подгрузить и исполнить любую вредоносную программу, не создавая файлов на диске. Весь процесс разворачивается в оперативной памяти, что позволяет обойти большинство антивирусов. Для обеспечения повторного запуска используется задача в Планировщике Windows, которая обращается к тем же URL-адресам, откуда изначально был загружен вредоносный код.

Анализ более 70 различных экземпляров Caminho выявил стабильную архитектуру и характерные признаки, включая переменные и комментарии на португальском языке, а также указания на использование форума HackForums. Механизмы обнаружения виртуальных машин, песочниц и отладчиков встроены в каждый образец, что ещё сильнее затрудняет анализ.

Загрузчик разработан по принципу универсального инструмента: его можно использовать с любым URL-адресом, ведущим к финальному вредоносному файлу. Такой подход указывает на модель LaaS — Loader-as-a-Service. Вместо того чтобы распространять собственный вредонос, авторы предоставляют клиентам инфраструктуру доставки и исполняемую оболочку, в которую те могут подставлять свои полезные нагрузки.

В рамках этой кампании были зафиксированы поставки различных типов вредоносного ПО. Среди них — RAT-инструмент REMCOS, шпионская программа XWorm и крадущий учётные данные Katz Stealer. Все они использовались в разных странах, включая Бразилию, Польшу, Украину и ЮАР. Примечательно, что те же изображения, маскирующие загрузчик, встречаются в различных атаках — это ещё одно подтверждение сервисного характера платформы Caminho.

Инфраструктура проекта также выстроена с расчётом на устойчивость и масштабируемость. Помимо легитимных платформ вроде archive.org и catbox.moe, использовались домены, связанные с bulletproof-хостингом, например, Railnet LLC, известный связями с киберпреступными группами из СНГ. Платформы pastebin-формата использовались для хранения промежуточных скриптов, что также упрощало обновление кампаний и усложняло детектирование.

Хотя основная масса атак была ориентирована на пользователей из Бразилии, география быстро расширилась, охватив сразу несколько континентов. Используемые приманки варьировались от фальшивых счетов до писем с деловыми запросами, часто на португальском языке. Это указывает на тщательно подобранную тактику социальной инженерии, рассчитанную на офисных работников и корпоративную среду.

Отсутствие направленности на инфраструктуру критической важности, а также широкий спектр конечных вредоносов говорит в пользу того, что за операцией стоит коммерчески ориентированная группа. Её цель — не шпионаж, а системный заработок на краже данных, удалённом управлении заражёнными машинами и последующем их использовании в теневых схемах.