Вирус, который вежливее системного администратора. Исследователи описали новый вредоносный набор, которого ещё нет в VirusTotal

Новый вредоносный набор под названием CTRL маскируется под обычную папку с закрытым ключом, а после запуска незаметно превращает компьютер жертвы в удобную точку входа для удалённого контроля. Специалисты Censys ARC описали цепочку, в которой одна вредоносная ссылка в формате LNK запускает сразу несколько функций: кражу учётных данных, перехват нажатий клавиш, захват сеансов удалённого рабочего стола и создание скрытого канала связи с сервером злоумышленника.

В открытом каталоге специалисты нашли три исполняемых файла на платформе .NET, собранных как единый комплект. На момент подготовки отчёта образцы отсутствовали в VirusTotal, Hybrid Analysis и открытых сводках по киберугрозам, поэтому речь идёт о ранее не описанном инструменте, который, похоже, не успел широко разойтись.

Заражение начинается с файла Private Key #kfxm7p9q_yek.lnk. Ярлык оформлен как папка, поэтому пользователь видит привычный значок каталога и может не заметить подвоха. Внутри ярлыка спрятана длинная команда PowerShell с несколькими слоями кодирования. После запуска команда распаковывает следующий модуль, записывает полезную нагрузку в системный реестр под видом обычных параметров проводника Windows и запускает код прямо из памяти. Такой подход помогает обойти часть защитных механизмов и усложняет разбор атаки.

Дальше CTRL проверяет уровень привилегий и при необходимости пытается получить повышенные права через известную схему обхода контроля учётных записей. Получив доступ, набор скачивает дополнительные компоненты, настраивает постоянное присутствие в системе, открывает скрытый командный канал и готовит компьютер к удалённому подключению. Для закрепления используются задания планировщика, а полезные файлы хранятся в реестре и в скрытых каталогах. Если злоумышленнику не удаётся упростить вход через существующие учётные записи, программа может создать скрытого локального пользователя с правами администратора и доступом по удалённому рабочему столу.

Один из самых неприятных модулей CTRL имитирует окно проверки PIN-кода Windows Hello. Подделка выглядит убедительно: программа подхватывает настоящее имя пользователя, его фотографию учётной записи, тему оформления и даже использует анимацию, похожую на штатную. Одновременно вредоносный код блокирует сочетания клавиш вроде Alt+Tab и Alt+F4, чтобы жертва не смогла быстро закрыть окно или переключиться на другое приложение. Введённый PIN не просто сохраняется. Программа тут же проверяет комбинацию через настоящий системный запрос Windows. Если код неверный, окно показывает ошибку и просит попробовать снова. Если код верный, злоумышленник получает уже подтверждённые учётные данные.

Помимо фишинга, CTRL ведёт журнал нажатий клавиш и сохраняет данные в файл C:\Temp\keylog.txt. Для удалённого доступа набор включает механизм обратного туннеля на базе FRP. Через такой канал оператор может добраться до машины жертвы по удалённому рабочему столу и работать почти как за своим компьютером. Дополнительно программа умеет включать неограниченные параллельные сеансы удалённого рабочего стола, изменяя системные настройки и библиотеку termsrv.dll, а также подменять уведомления браузеров, чтобы выманивать новые данные у пользователя.

Авторы отчёта считают CTRL примером новой волны частных наборов для точечных атак, где упор сделан не на массу функций, а на скрытность и удобство ручной работы внутри чужой системы. Вместо привычного вредоносного обмена с командным сервером оператор прячет активность внутри туннеля и сеанса удалённого рабочего стола. Для защитников такой подход создаёт дополнительную проблему, поскольку сетевые признаки выглядят менее заметно, а многие действия происходят уже на самой машине.