«Красивое» не значит безопасное. Как 4К-пейзаж может слить пароли хакерам

Файл с обоями в высоком разрешении может оказаться входной точкой для полноценной атаки. В конце февраля специалисты обнаружили кампанию, в которой злоумышленники использовали популярный архивный сервис для скрытой доставки вредоносного кода, маскируя его под обычные изображения.

В конце февраля специалисты сопоставили данные сервиса URLhaus и песочницы Tria.ge и обнаружили активную кампанию, использующую Archive.org как площадку для раздачи полезной нагрузки. Операторы прячут .NET-библиотеки с инжектором внутри JPEG-изображений размером 3840 на 2160 пикселей. До байта 1 390 750 файл остаётся обычной картинкой, а дальше начинается закодированная в base64 библиотека, обрамлённая текстовыми маркерами.

С 24 по 28 февраля злоумышленники ежедневно пересобирали и заново загружали вредоносные файлы через четыре учётные записи Gmail. За пять дней появилось 19 загрузок. Один и тот же файл иногда публиковали с разных аккаунтов в один день. Названия и теги состояли из бессмысленных наборов символов, но встречались и португальские фразы, что может указывать на языковую среду оператора.

JavaScript-файл запускал wscript.exe, который в скрытом режиме поднимал PowerShell. Скрипт скачивал изображение с Archive.org, вырезал из него блок между маркерами IN- и -in1, декодировал base64 и загружал полученную .NET-библиотеку напрямую в память через механизм отражённой загрузки сборки. Библиотека маскировалась под Microsoft.Win32.TaskScheduler.dll версии 2.12.2.0 для .NET Framework 4.5, сохраняя метаданные легитимной библиотеки.

Далее инжектор внедрял полезную нагрузку в процесс MSBuild. В одном случае загружался Remcos версии 7.1.0 Pro, который связывался с сервером systemcopilotdrivers.ydns.eu на порту 3001. В другом случае использовался AsyncRAT версии 1.0.7 с подключением к securityhealthservice.ydns.eu на порту 1000. Оба домена указывали на один и тот же IP-адрес 181.206.158.190, принадлежащий колумбийскому оператору связи Colombia Movil. Тот же сервер обслуживал и промежуточные файлы.

Remcos активировал перехват нажатий клавиш и сохранял логи в папке Copilotdrivers внутри каталога AppData. Несмотря на то что в статической конфигурации флаг кейлоггера был отключён, анализ дампа памяти показал запуск модуля перехвата сразу после старта. AsyncRAT работал без установки на диск, повторно загружая и внедряя код каждую минуту. В альтернативном варианте кампании тот же AsyncRAT получал изображение уже не с Archive.org, а с отдельного домена hostphpwindowsapps.ydns.eu, размещённого через шведский VPN-провайдер.

Инжектор использовал открытый проект Mandark, ранее размещавшийся на GitHub и рекламировавшийся на HackForums как компактная реализация техники RunPE на C#. В коде сохранилось исходное пространство имён HackForums.gigajew.Mandark. Для внедрения применялись стандартные вызовы CreateProcess, ZwUnmapViewOfSection, VirtualAllocEx и WriteProcessMemory. В более поздних сборках добавили обфускацию строк и встроили RSA-ключ на 1024 бита, зашифрованный через AES. Большинство обнаруженных образцов маскировались под файл Microsoft.Win32.TaskScheduler.dll – именно такую маскировку исследователи фиксировали в связанных кампаниях.

Инфраструктура указывает на одного оператора. Начиная с апреля 2025 года на том же IP-адресе фиксировали активность DCRat, летом добавился Remcos, а к февралю 2026 года появилась связка с AsyncRAT. Названия каталогов Nueva carpeta и ботнета Oct Respaldo, а также ряд доменов с отсылками к Медельину и колумбийским реалиям дополняют картину.

Archive.org оказался удобной площадкой для такой схемы. Доверенный домен, отсутствие жёсткой проверки содержимого и возможность регулярно перезаливать файлы позволили злоумышленникам в течение нескольких дней поддерживать работу сразу двух семейств троянов удалённого доступа и быстро менять полезную нагрузку без изменения общей цепочки заражения.