«Вставьте это в терминал, пожалуйста». Как опытные айтишники сами пускают хакеров в систему

Атаки с примитивной социальной инженерией снова сработали там, где многие считают себя защищёнными. В феврале 2026 года специалисты Huntress расследовали взлом, который начался с ClickFix – схемы, при которой жертву убеждают самой запустить вредоносную команду. Пользователю показывают правдоподобное сообщение и просят скопировать и вставить строку в окно «Выполнить» или терминал. Дальше он фактически сам устанавливает вредоносную программу, обходя фильтры почты и привычные средства защиты.

В этом случае ClickFix привёл к установке Matanbuchus 3.0 – платного загрузчика по модели «вредоносная программа как услуга». Его с 2021 года продвигает злоумышленник под псевдонимом BelialDemon на русскоязычных форумах. Если раньше аренда стоила 2500 долларов в месяц, то третья версия обойдётся уже в 10 000 долларов за вариант с HTTPS и 15 000 за более скрытный вариант с использованием DNS. Такая цена характерна для точечных атак на ценные цели, а не для массовых рассылок.

После заражения на компьютер незаметно устанавливался пакет MSI. Вредонос маскировался под вымышленные антивирусные продукты, распаковывал архив с помощью переименованной версии 7-Zip и использовал легитимные файлы антивируса Zillya для подгрузки своей библиотеки. Внутри находился компонент SystemStatus.dll, который и оказался Matanbuchus 3.0.

Разработчики серьёзно усложнили анализ. Загрузчик наполняли бессмысленными вызовами системных функций и пустыми циклами, чтобы запутать исследователей и замедлить работу песочниц. Все строки шифровались алгоритмом ChaCha20. Даже ключ к следующему этапу программа подбирала перебором, проверяя расшифрованный фрагмент на совпадение с характерным кодом Heaven's Gate, который позволяет 32-разрядному процессу перейти в 64-разрядный режим и обойти перехват системных вызовов.

После расшифровки выполнялся код, который скачивал основной модуль с удалённого сервера. Ответ тоже был зашифрован ChaCha20 и собирался по частям. Но на этом цепочка не заканчивалась. Matanbuchus загружал ещё один пакет – на этот раз с копией java.exe и поддельной библиотекой jli.dll. Через подмену библиотек запускался следующий этап.

Перед тем как продолжить, вредонос снимал перехваты с kernel32.dll и ntdll.dll. Многие системы обнаружения встраивают в эти библиотеки свои «крючки», чтобы отслеживать подозрительные вызовы. Загрузчик заменял раздел .text на чистую копию из каталога KnownDlls, который создаётся самой системой при запуске. После этого он получал доступ к системным функциям без наблюдения со стороны средств защиты.

Далее запускался встроенный интерпретатор Lua версии 5.4.7. Из файла SySUpd, лежавшего рядом, программа извлекала зашифрованный сценарий, расшифровывала его простым XOR и выполняла. Сценарий декодировал около 200 килобайт данных, превращая их в 151 килобайт машинного кода. Это был отражающий загрузчик, который собирал из нестандартного двоичного формата полноценную библиотеку, восстанавливал таблицу импорта, применял релокации и запускал следующий этап.

Финальной нагрузкой оказался ранее не описанный инструмент удалённого управления, получивший имя AstarionRAT. Он хранил адрес командного сервера в зашифрованном виде и имитировал телеметрию приложения, отправляя запросы к пути /intake/organizations/events?channel=app. Данные помещались в cookie, а начальное соединение шифровалось с помощью RSA.

AstarionRAT поддерживает 24 команды. Он умеет запускать процессы, красть учётные данные, подменять токены, просматривать и копировать файлы, создавать прокси SOCKS5, сканировать порты и выполнять произвольный код прямо в памяти без записи на диск. По сути оператор получает полноценный инструмент для закрепления и дальнейшего продвижения по сети.

Так и произошло. Через 17 часов злоумышленник вернулся и начал активно перемещаться по инфраструктуре. Он создал запланированное задание Application Maintenance для закрепления, затем запустил службу управления приложениями и выполнил команды для разведки домена. Инструменты размещались в каталоге C:\ProgramData\USOShared, который выглядит как папка обновлений Windows.

На одном из серверов злоумышленник создал учётную запись DefaultService с паролем и добавил её в локальную группу администраторов. Любопытно, что сначала он попытался использовать испанское название группы Administradores, а затем английское. После этого он подключился по удалённому рабочему столу уже под новой учётной записью и начал распространять инструменты через PsExec на другие узлы, включая резервный контроллер домена.

Развернуть AstarionRAT на двух серверах полностью не удалось. Защитник Windows успел изолировать вредоносную библиотеку jli.dll до завершения подгрузки. Попытка добавить исключение для каталога произошла уже после обнаружения. Тем не менее злоумышленник сохранил созданные учётные записи и активные сеансы удалённого доступа, а затем попробовал продвинуться к основному контроллеру домена. Эту попытку также пресекли.

По характеру действий, быстрому перемещению к контроллерам домена, созданию скрытых учётных записей и подготовке исключений в антивирусе можно предположить, что конечной целью была либо установка программы шифрования, либо кража данных. Атака уложилась в считаные десятки минут с момента начала активной фазы.

История показывает, что даже дорогие и технически сложные инструменты по-прежнему заходят в сеть через простую просьбу «вставьте эту команду и нажмите Enter». Пока пользователи готовы выполнять такие инструкции, у злоумышленников будет рабочая точка входа.