Ваша мышь двигается сама. Это троян добавляет себя в исключения антивируса

Фальшивые уведомления от имени Налогового департамента Индии стали прикрытием для вредоносной кампании, в ходе которой на устройства жертв загружается банковский троян Blackmoon. Атака затрагивает индийских пользователей и направлена на скрытую установку многоступенчатого инструмента удалённого доступа, предположительно в рамках шпионской операции.

По данным команды eSentire, рассылка ведётся через электронные письма, в которых сообщается о неуплаченных налогах. Адресаты таких писем получают архив с вредоносными файлами, замаскированный под документы, связанные с проверкой. Из пяти вложенных объектов пользователю виден только один — исполняемый файл с именем «Inspection Document Review.exe». Он используется для запуска вредоносной DLL, встроенной в архив. Эта библиотека проверяет наличие отладчиков и подключается к внешнему серверу, чтобы загрузить следующий этап вредоносной программы.

Следующий компонент выполняет обход системной защиты UAC, чтобы получить привилегии администратора. Затем он маскируется под легитимный процесс Windows «explorer.exe», что позволяет ему оставаться незамеченным. При дальнейшем выполнении загружается установщик под названием «180.exe» с китайского домена. Его поведение меняется в зависимости от того, активен ли на заражённой машине антивирус Avast.

Если вредоносный код обнаруживает работающий антивирус, он начинает имитировать действия мыши, чтобы вручную добавить заражённые файлы в список исключений Avast. Таким образом, вредоносная активность сохраняется, не вызывая срабатывания защитных механизмов. При этом используется DLL, которую специалисты считают одной из разновидностей трояна Blackmoon. Этот вредоносный код был впервые выявлен в 2015 году и ранее применялся против компаний в Южной Корее, США и Канаде.

Среди исполняемых файлов, добавляемых в систему, обнаруживается программа «Setup.exe» от компании SyncFutureTec. Она запускает компонент «mysetup.exe», который, по оценкам аналитиков, представляет собой законное программное обеспечение SyncFuture TSM. Этот инструмент разработан китайской компанией и предназначен для корпоративного удалённого мониторинга и управления.

Подменяя функциональность легитимного ПО, злоумышленники получают полный контроль над заражённым устройством — от слежки за действиями пользователя до отправки собранных данных на удалённые серверы. Дополнительно в системе создаются пользовательские папки с особыми правами доступа, изменяются настройки безопасности для папок на рабочем столе, а также запускаются процессы очистки и логирования.

В заключение специалисты подчёркивают, что используемая схема отличается высокой сложностью. В ней сочетаются механизмы обхода антивирусов, повышение привилегий, загрузка вредоносных DLL и использование легального инструмента для шпионажа. Всё это указывает на высокий уровень подготовки и чёткое понимание цели со стороны организаторов атаки.