Отключение антивируса, полные права и забытый домен. Как обычный рекламный мусор превратился в угрозу мирового масштаба
Вредоносный код годами жил внутри программ и просто ждал сигнала от новых хозяев.
Обычное рекламное ПО внезапно оказалось куда опаснее, чем казалось на первый взгляд. Специалисты Huntress заметили подозрительную активность, которая сначала выглядела как рядовой «мусорный» софт, но при ближайшем разборе превратилась в полноценную историю о рисках уровня цепочки поставок.
В конце марта в разных корпоративных средах начали срабатывать сигналы тревоги. Исполняемые файлы с подписью Dragon Boss Solutions LLC использовали механизм обновлений, чтобы скрытно запускать многоступенчатую атаку. Программа не просто подгружала дополнительные компоненты — она работала с правами SYSTEM и последовательно отключала антивирусы.
Анализ показал, что загрузчики распространялись ещё с конца 2024 года, однако недавно получили новую функциональность. Через стандартный механизм обновлений система доставляла MSI-пакеты и PowerShell-скрипты, закреплялась через WMI и блокировала повторную установку защитных решений. Ключевую роль играл скрипт ClockRemoval.ps1, который завершал процессы антивирусов, удалял их файлы и даже вносил изменения в hosts, чтобы перекрыть доступ к серверам обновлений.
Особое внимание привлёк сам механизм обновлений. В конфигурации обнаружился домен chromsterabrowser[.]com, который на момент исследования не был зарегистрирован. Любой желающий мог купить его за символическую сумму и получить возможность отправлять команды на заражённые машины. Фактически речь шла о готовой инфраструктуре для масштабной атаки без необходимости взлома.
Команда Huntress оперативно зарегистрировала этот домен и направила трафик в «песочницу». Уже в первые часы десятки тысяч заражённых устройств начали обращаться за обновлениями. За сутки зафиксировали более 23 тысяч уникальных IP-адресов из 124 стран. Среди пострадавших оказались университеты, государственные организации, объекты критической инфраструктуры и даже сети крупных компаний.
Дополнительный анализ выявил и другие опасные детали. Модифицированные версии Google Chrome запускались с параметром, который отключал автоматические обновления браузера, закрепляя уязвимое состояние системы. Само ПО маскировалось под безобидные приложения с псевдослучайными названиями и устанавливалось в типичные каталоги Program Files.
История наглядно показывает, как «серое» рекламное ПО может быстро превратиться в серьёзную угрозу. В данном случае инфраструктура уже была готова к распространению куда более опасных нагрузок — от шифровальщиков до стилеров. Разница между назойливой рекламой и полноценной кибератакой оказалась минимальной.