Хакерская магия: как злоумышленники превращают обычный текст в вирус прямо в памяти вашего компьютера

Злоумышленники развернули новую кампанию с применением многоэтапной схемы заражения, направленную на доставку вредоносного ПО Remcos RAT — инструмента удалённого управления, который позволяет незаметно контролировать скомпрометированное устройство. Специалисты Securonix, обнаружившие атаку, дали ей условное обозначение SHADOW#REACTOR. Она примечательна сочетанием малозаметных механизмов доставки и стойкой схемы уклонения от обнаружения.

Сценарий заражения построен на последовательном исполнении нескольких компонентов, каждый из которых маскируется и взаимодействует с другими звеньями цепи. Всё начинается с запуска скрытого скрипта на языке Visual Basic, который запускается через стандартный системный компонент Windows — wscript.exe.

Этот скрипт активирует PowerShell-загрузчик, обращающийся к внешнему серверу за частями полезной нагрузки, представленной в виде обычного текста. Сегменты объединяются в памяти и превращаются в закодированный загрузчик, который запускается через защищённый компонент на базе .NET и используется для получения конфигурации Remcos RAT с удалённого ресурса.

Финальный этап задействует легитимный системный инструмент MSBuild.exe, известный как один из популярных LOLBin-элементов, позволяющий обойти защитные механизмы за счёт использования встроенных средств самой операционной системы. В результате все компоненты вредоносного ПО размещаются в системе без необходимости сохранять исполняемые файлы в открытом виде.

По оценке специалистов, атакующая кампания не носит точечного характера — скорее, речь идёт о массовом и оппортунистическом подходе. Основной целью становятся корпоративные сети и инфраструктура малых и средних компаний. Тактика, используемая в ходе атаки, характерна для так называемых брокеров первоначального доступа, которые специализируются на создании устойчивых точек входа и последующей их продаже другим преступным группировкам. В то же время признаки принадлежности к известным группам не выявлены.

Особенностью этой схемы стала ставка на промежуточные текстовые файлы и повторное использование PowerShell-скриптов для построения загрузчиков прямо в оперативной памяти. Это усложняет процесс анализа и обнаружения. Компоненты защищаются с помощью механизма .NET Reactor, что дополнительно затрудняет изучение вредоносного кода.

Первичный скрипт запускает цепочку после, предположительно, взаимодействия пользователя с вредоносной ссылкой. После загрузки текстового файла в системный временный каталог, PowerShell-скрипт проверяет его размер и целостность. Если данные неполные, процесс приостанавливается и инициируется повторная загрузка. Такая проверка позволяет избежать прерывания выполнения из-за неполного или повреждённого файла, что делает всю схему более устойчивой.

Если условия соблюдены, формируется следующий PowerShell-скрипт, отвечающий за вызов загрузчика на .NET, получение следующего уровня вредоносного ПО и проведение проверок на наличие виртуальной среды или отладчика. Благодаря такому подходу вредоносное ПО дольше остаётся незамеченным.

Кроме того, во время атаки добавляются вспомогательные скрипты, отвечающие за повторный запуск исходного компонента и сохранение контроля над системой. Авторы схемы, по словам специалистов, сознательно выстроили модульную инфраструктуру, которая делает полезную нагрузку гибкой, сложно классифицируемой и менее уязвимой к статическому анализу.

Кампания SHADOW#REACTOR демонстрирует высокую степень продуманности: от использования встроенных средств Windows до постоянного контроля за корректностью выполнения каждого этапа. Это делает её серьёзной угрозой для организаций, особенно в условиях недостаточной защиты конечных устройств.