0-day в деле
Image

0-day в деле

Показываем, как критические баги ломают системы в реальном времени, пока вендоры только готовят патч. 

«Я его слепила из того, что было». Как собрать опасный вирус из GitHub и палок (и успешно атаковать весь мир).

leer en español

PhantomVAI Intrinsec Mandark RunPE DarkCloud загрузчик фишинг
«Я его слепила из того, что было». Как собрать опасный вирус из GitHub и палок (и успешно атаковать весь мир).
PhantomVAI Intrinsec Mandark RunPE DarkCloud загрузчик фишинг

Многоликая угроза, которая мастерски водит за нос криминалистов.

image

Аналитики Intrinsec зафиксировали участившиеся атаки с использованием загрузчика PhantomVAI, который построен на основе старой утилиты RunPE и применяется в атаках по всему миру. Инструмент всплыл сразу в нескольких независимых отчётах, однако под разными названиями, что создало путаницу в описаниях кампаний и затруднило сопоставление данных между публикациями.

Разбор доступных материалов показал, что речь идёт об одном и том же загрузчике, который фигурировал в исследованиях вредоносной активности, связанной с семейством DarkCloud и рядом других угроз. Внутри кода обнаружен механизм Process Hollowing, реализованный через утилиту Mandark. Её несколько лет назад разработал и выложил в открытый доступ пользователь форума HackForums. Специалисты изучили параметры запуска и логику работы этого инструмента, что позволило точнее определить цепочку выполнения и признаки присутствия загрузчика в системе.

Большинство обнаруженных образцов маскировались под файл «Microsoft.Win32.TaskScheduler.dll». За основу злоумышленники взяли легитимный проект из GitHub, чтобы придать компоненту правдоподобный вид. Найденные экземпляры были связаны с различными вредоносными программами, среди которых Remcos, XWorm, AsyncRAT, DarkCloud и SmokeLoader. Также отмечено большое разнообразие фишинговых приманок, через которые распространялся загрузчик, что указывает на адаптацию схем доставки под различные регионы и аудитории.

Специалисты Intrinsec сообщили, что для отслеживания PhantomVAI подготовлены правила Yara и набор индикаторов компрометации для поиска следов активности. По данным команды, современные атакующие группы всё чаще используют модульные инструменты и повторно применяют старые открытые разработки, дорабатывая их под новые задачи. Это существенно затрудняет обнаружение и требует постоянного обновления методов поиска угроз.

В отчёте также подчёркивается, что для выявления подобных инструментов всё большую роль играет проактивная аналитика, сопоставление телеметрии и охота за угрозами на ранних этапах. Такой подход позволяет быстрее обнаруживать вторжения и снижать возможный ущерб для организаций.