0-day в деле
Image

0-day в деле

Показываем, как критические баги ломают системы в реальном времени, пока вендоры только готовят патч. 

Хакеры против скуки. Зачем городить цепочку из десяти скриптов, если можно просто прислать виртуальный диск

leer en español

Securonix Dead#Vax AsyncRAT Progressive Components IPFS VHD PowerShell
Хакеры против скуки. Зачем городить цепочку из десяти скриптов, если можно просто прислать виртуальный диск
Securonix Dead#Vax AsyncRAT Progressive Components IPFS VHD PowerShell

Доверие ко входящей почте ещё никогда не стоило так дорого.

image

Вредоносная кампания «Dead#Vax» показывает, как злоумышленники всё чаще обходят защиту не за счёт редких уязвимостей, а благодаря цепочкам из привычных форматов и встроенных инструментов Windows. В свежем разборе команда Securonix описала атаку, в которой вредоносная нагрузка почти не оставляет следов на диске и разворачивается в памяти, маскируясь под обычные процессы.

По данным Securonix, заражение начинается с фишингового письма, стилизованного под деловую переписку от поставщика Progressive Components. В сообщении используется подмена отображаемого адреса и ссылка на файл, который выдаётся за документ, но на деле представляет собой контейнер виртуального диска VHD, размещённый через шлюз IPFS. Такой подход помогает пройти почтовые проверки и снижает подозрения, а файлы внутри смонтированного диска не получают метку «Mark-of-the-Web», из-за чего Windows воспринимает их как локальные.

После монтирования VHD жертве показывают файл с двойным расширением, замаскированный под PDF, но выполненный в формате WSF. Скрипт запускает следующую стадию и извлекает пакетный файл, при этом содержимое собирается из фрагментов и расшифровывается только во время выполнения. Далее запускается сильно запутанный batch-код, который подменяет тысячи переменных, проверяет окружение на признаки анализа и виртуализации, а затем читает собственный файл, чтобы вытащить спрятанный в конце зашифрованный блок.

Ключевая особенность цепочки в том, что дальнейшие действия выполняются через PowerShell без сохранения расшифрованного исполняемого файла на диск. Загрузка конечной полезной нагрузки идёт в виде зашифрованного x64 шелл-кода, который внедряется в доверенные, подписанные Microsoft процессы с помощью стандартных Win32-вызовов. В отчёте также отмечен маркер «DE AD BE CA FE BA EF», который используется для предотвращения повторного внедрения в уже заражённый процесс и помогает атаке оставаться стабильной.

Динамический анализ, на который ссылается Securonix, показал, что итоговым компонентом выступает «AsyncRAT» — удалённый инструмент управления, пригодный для длительного скрытого контроля, наблюдения и последующих действий в сети. В качестве мер защиты авторы рекомендуют внимательнее относиться к ссылкам на образы дисков вроде VHD и включать отображение расширений файлов, а также усиливать мониторинг сценариев и событий внедрения кода в процессы на уровне журналирования и телеметрии.