Твой компьютер работает за тебя, а зарплату получают хакеры: знакомьтесь с ChimeraWire

Специалисты Doctor Web обнаружили новый троян-кликер Trojan.ChimeraWire, который маскируется под активность живого пользователя и накручивает поведенческий фактор сайтов в поисковой выдаче. Заражённые компьютеры под управлением Windows автоматически ищут нужные ресурсы в Google и Bing, переходят по ссылкам и кликают на страницы так, будто это делает человек, помогая мошенникам повышать позиции своих сайтов в поиске.

В основе ChimeraWire лежат открытые проекты zlsgo и Rod, которые обычно используют для автоматизации работы с веб-сайтами и веб-приложениями. Попав на компьютер, троян скачивает с постороннего сайта архив с портативной версией Google Chrome для Windows, причём на том же ресурсе лежат сборки браузера и для Linux, и для macOS. Затем вредонос незаметно устанавливает в этот Chrome расширения NopeCHA и Buster — легальные инструменты для автоматического решения CAPTCHA. После этого браузер запускается в скрытом режиме отладки, а управление им идёт через WebSocket — так вредонос может выполнять любые сценарии в фоне, не выдавая себя перед пользователем.

Дальнейшие команды ChimeraWire получает с управляющего сервера. Тот отправляет зашифрованную (AES-GCM) конфигурацию в виде base64-строки. В ней задаются все параметры: какую поисковую систему использовать (Google или Bing), по каким ключевым словам искать сайты, какие домены продвигать, сколько переходов между страницами делать подряд, сколько ждать загрузки, как распределить клики по ссылкам и когда делать паузы, чтобы не походить на «вечный» бот-трафик. По сути, это гибкий сценарий поведения «идеального пользователя», заточенный на накрутку.

Работает троян так: сначала он вводит в поиске заданные ключевые слова, находит нужные сайты и открывает их, иногда — в фоновых вкладках. На загруженных страницах ChimeraWire собирает все HTML-элементы, содержащие ссылки, складывает их в массив и перемешивает порядок — чтобы последовательность кликов не совпадала с порядком ссылок на странице и не вызывала подозрений у антибот-систем. Затем он сравнивает текст ссылок с шаблонами из конфигурации и считает количество совпадений.

Если подходящих ссылок достаточно, троян сортирует их по «релевантности» ключевым фразам и кликает по одной или нескольким. Если совпадений мало или нет, в дело вступает вероятностная модель. В конфигурации, например, может быть задано распределение вида «1:90, 2:10», означающее, что в 90% случаев нужно открыть одну ссылку, а в 10% — две. ChimeraWire случайно выбирает нужное число ссылок из ранее перемешанного списка и кликает по ним. После каждого перехода он либо возвращается к вкладке с поисковой выдачей, либо переходит к следующей — пока не исчерпает лимит «действий» для конкретного сайта.

Чтобы троян вообще оказался на компьютере и получил нужные права, злоумышленники выстроили сразу несколько сложных цепочек заражения. В первой цепочке стартует загрузчик Trojan.DownLoader48.54600. Он проверяет, не запущен ли в виртуальной машине или под отладкой, и прекращает работу при малейших признаках анализа. Если всё «чисто», загрузчик скачивает с управляющего сервера архив python3.zip с вредоносным скриптом Python.Downloader.208 и библиотекой ISCSIEXE.dll (Trojan.Starter.8377). Далее используется уязвимость класса DLL Search Order Hijacking: Windows-приложение iscsicpl.exe автоматически подхватывает подложенную DLL, поскольку ищет библиотеку по имени и в «неправильном» месте. Через эту подмену троян получает возможность перезапустить скрипт уже с правами администратора.

Получив повышенные привилегии, Python.Downloader.208 загружает следующий архив onedrive.zip, внутри которого — библиотека UpdateRingSettings.dll (Trojan.DownLoader48.54318) и легальное приложение OneDrivePatcher.exe с корректной подписью Microsoft. Для него тоже характерна DLL-уязвимость: при запуске оно подхватывает не настоящую библиотеку, а троянскую. Новый загрузчик снова проверяет среду на виртуализацию и отладку, а затем скачивает зашифрованный ZLIB-контейнер с шеллкодом и исполняемым файлом. После нескольких этапов расшифровки и распаковки на финальном шаге запускается основной вредонос — Trojan.ChimeraWire.

Во второй цепочке используется другой загрузчик — Trojan.DownLoader48.61444. Он маскируется под процесс explorer.exe (приём Masquerade PEB), добивается повышения привилегий через старые COM-интерфейсы (CMSTPLUA) и снова эксплуатирует DLL Search Order Hijacking, но уже через подмену системной библиотеки ATL.dll и запуск оснастки WMI (mmc.exe). Получив права администратора, вредонос скачивает два архива: one.zip и two.zip. В первом лежат те же OneDrivePatcher.exe и UpdateRingSettings.dll (Trojan.DownLoader48.54318), что и в первой цепочке, во втором — скрипт Python.Downloader.208 (под именем update.py) и набор файлов для его запуска, включая Guardian.exe — переименованный pythonw.exe. Для обоих архивов создаются задачи в Планировщике заданий, чтобы цепочка заражения переживала перезагрузку. В результате часть шагов первой цепочки фактически дублируется, повышая шансы на успешную доставку ChimeraWire.

Название трояна неспроста отсылает к «химере» и «проводу». «Химера» отражает гибридный характер атаки: в цепочках используются загрузчики на разных языках, набор техник против отладки, несколько вариантов повышения привилегий и сочетание готовых фреймворков, плагинов и легального ПО для скрытого управления веб-трафиком. «Wire» подчёркивает невидимую, но активную сетевую работу — от загрузки модулей до постоянной связи с командным сервером.

На текущем этапе основная задача Trojan.ChimeraWire — относительно простая накрутка популярности сайтов за счёт имитации поведения пользователей в поиске и на страницах. Однако сами инструменты, на которых он построен, позволяют делать гораздо больше. Потенциально злоумышленники могут с их помощью автоматически заполнять веб-формы, в том числе в рекламных и опросных сервисах, читать содержимое страниц, делать скриншоты и массово собирать данные — например, электронные адреса и номера телефонов для спам-рассылок или фишинга.

Специалисты Doctor Web ожидают появления новых версий ChimeraWire с расширенным набором функций и продолжают наблюдать за развитием этой угрозы. Для пользователей и администраторов главный вывод традиционный: одних сигнатурных детектов уже давно недостаточно — сложные цепочки заражения с подменами DLL, правами администратора и антиотладочными трюками могут долго оставаться незамеченными, если не дополняются поведенческими и проактивными мерами защиты.