Хакери використовують TON Blockchain для обходу виявлення зловмисного ПЗ за допомогою легітимного програмного забезпечення

Дослідники з кібербезпеки виявили кампанію з розповсюдження зловмисного ПЗ, яка використовує блокчейн TON, легітимне програмне забезпечення та надійні компоненти Windows для створення стійкої інфраструктури командування й керування, здатної обходити стандартні механізми захисту. Атакувальники поєднують технології блокчейну із широко використовуваними застосунками, ускладнюючи виявлення шкідливого ПЗ та зрив традиційних спроб нейтралізації. Ця кампанія відображає зростаючий тренд, коли кіберзлочинці експлуатують децентралізовані технології та екосистеми легітимного софту для створення надзвичайно стійкої інфраструктури шкідливого ПЗ, яка може витримувати блокування доменів і традиційні засоби захисту.

Фішингові листи запускають багатоступеневий ланцюг атаки

Атака починається з фішингових листів, замаскованих під повідомлення, пов’язані з бронюванням. Одержувачів спрямовують на посилання Google Share, яке перенаправляє їх на шкідливий сайт, де їм пропонують завантажити ZIP-архів або напряму, або через інтерфейс у стилі ClickFix. Завантажений архів містить шкідливий файл ярлика Windows (LNK), замаскований під зображення шляхом використання іконки з бібліотеки Windows shell32.dll.

Після відкриття файлу ярлика він тихо виконує обфусковану команду PowerShell. Замість того щоб зберігати домен завантаження у відкритому вигляді, атакувальники кодують адресу як два великі числові значення. Вбудований скрипт PowerShell відновлює шкідливий домен, виконуючи арифметичні та бітові операції, що робить інфраструктуру складнішою для ідентифікації інструментами безпеки під час статичного аналізу.

Після цього корисне навантаження PowerShell перевіряє, чи встановлено на цільовому пристрої середовище виконання Node.js. Якщо його немає, зловмисне ПЗ завантажує легітимну версію Node.js для Windows із офіційної інфраструктури розповсюдження проєкту та розпаковує її у каталог LocalAppData користувача. Покладаючись на автентичні компоненти програмного забезпечення, а не лише на шкідливі виконувані файли, атакувальники намагаються змішати свою активність із поведінкою легітимних застосунків і зменшити ймовірність виявлення.

JavaScript-пейлоад використовує власний інтерпретатор віртуальної машини

Після встановлення або виявлення Node.js зловмисне ПЗ розшифровує JavaScript-пейлоад, захищений шифруванням AES-128-CBC і кодуванням Base64. Розшифрований код виконується через легітимне середовище виконання Node.js, а конфігурацію командування й керування передають як аргумент під час запуску.

Дослідники повідомили, що JavaScript-вставку було сильно обфусковано та виконано через власний інтерпретатор віртуальної машини, а не через стандартний JavaScript. Ця техніка істотно підвищує складність аналізу шкідливого ПЗ, унеможливлюючи просте визначення зловмисного коду традиційними інструментами захисту на основі сигнатур.

Конфігурація, розміщена у блокчейні, дає змогу оновлювати C2

Атака використовує блокчейн TON як стійку інфраструктуру командування й керування, що дозволяє атакувальникам оновлювати шкідливі інструкції без зміни або повторного розповсюдження шкідливого ПЗ, яке вже встановлено на скомпрометованих системах. У ході розслідування виявили кілька історичних доменів командування й керування, пов’язаних із цією кампанією. Втім, зловмисне ПЗ не покладається виключно на фіксовані домени для інструкцій. Натомість оператори можуть змінювати дані конфігурації, розміщені у блокчейні, коли інфраструктуру блокує захист, що дозволяє зараженим системам отримувати оновлену інформацію командування й керування без потреби замінювати саме шкідливе ПЗ.

Зловмисне ПЗ здатне завантажувати виконувані файли для Windows, скрипти PowerShell та додаткові JavaScript-пейлоади. Перед виконанням завантажених програм для Windows воно перевіряє заголовок файлу Portable Executable (PE), зберігає файл під випадково згенерованою назвою у тимчасовому каталозі та може спробувати додати шлях до файлу в список виключень Microsoft Defender, щоб зменшити шанси виявлення під час виконання.

Команди безпеки попередили стежити за фішингом і несанкціонованими встановленнями софту

Дослідники порадили організаціям залишатися уважними до фішингових кампаній із темами подорожей і бронювання, зокрема до листів, які містять посилання Google Share та перенаправляють користувачів на підозрілі завантаження. Вони також рекомендували моніторити ZIP-архіви, що містять файли ярликів LNK, замасковані під зображення, а також несподівану активність PowerShell і несанкціоновані встановлення Node.js у корпоративних системах.

FAQ

Для чого у цій шкідливій кампанії використовується блокчейн TON?

Блокчейн TON використовується як стійка інфраструктура командування й керування, яка дозволяє атакувальникам оновлювати шкідливі інструкції без модифікації або повторного розповсюдження шкідливого ПЗ, уже встановленого на скомпрометованих системах. Оператори можуть змінювати дані конфігурації, розміщені у блокчейні, коли інфраструктуру блокує захист, що дає змогу зараженим системам отримувати оновлену інформацію командування й керування.

Як шкідливе ПЗ маскується під легітимний софт?

Зловмисне ПЗ завантажує легітимну версію Node.js для Windows із офіційної інфраструктури розповсюдження проєкту та виконує зашифровані JavaScript-пейлоади через автентичне середовище виконання Node.js. Покладаючись на довірені компоненти програмного забезпечення та утиліти Windows, атакувальники змішують свою активність із поведінкою легітимних застосунків, щоб зменшити ймовірність виявлення інструментами безпеки.

Застереження: інформація на цій сторінці може походити зі сторонніх джерел і надається виключно для ознайомлення. Вона не відображає позицію чи думку Gate і не є фінансовою, інвестиційною чи юридичною консультацією. Торгівля віртуальними активами пов’язана з високим ризиком. Будь ласка, не покладайтеся лише на інформацію з цієї сторінки під час прийняття рішень. Детальніше дивіться у Застереженні.
Прокоментувати
0/400
Немає коментарів