Хакеры используют блокчейн TON для обхода обнаружения вредоносного ПО с помощью легитимного программного обеспечения

Исследователи по кибербезопасности выявили вредоносную кампанию, которая использует блокчейн TON, легитимное ПО и доверенные компоненты Windows для построения устойчивой инфраструктуры команд и управления, способной обходить традиционные меры защиты. Атакующие сочетают технологии блокчейна с широко используемыми приложениями, усложняя обнаружение вредоноса и нарушая обычные попытки закрытия. Эта кампания отражает растущую тенденцию, при которой киберпреступники используют децентрализованные технологии и экосистемы легитимного ПО для создания крайне устойчивой вредоносной инфраструктуры, способной противостоять блокировке доменов и традиционной защите.

Фишинговые письма запускают многостадийную цепочку атаки

Атака начинается с фишинговых писем, замаскированных под коммуникации, связанные с бронированием. Получателей направляют на ссылку Google Share, которая перенаправляет их на вредоносный сайт, где им предлагают скачать ZIP-архив напрямую или через интерфейс в стиле ClickFix. Скачанный архив содержит вредоносный файл ярлыка Windows (LNK), замаскированный под изображение с использованием иконки из библиотеки Windows shell32.dll.

После открытия файла ярлыка он незаметно выполняет обфусцированную команду PowerShell. Вместо того чтобы хранить домен загрузки в открытом виде, атакующие кодируют адрес как два больших числовых значения. Встроенный сценарий PowerShell восстанавливает вредоносный домен, выполняя арифметические и побитовые операции, что усложняет идентификацию инфраструктуры средствами безопасности при статическом анализе.

Полезная нагрузка PowerShell затем проверяет, установлен ли на целевом устройстве рантайм Node.js. Если его нет, вредоносное ПО скачивает легитимную версию Windows для Node.js из официальной инфраструктуры распространения проекта и извлекает её в каталог LocalAppData пользователя. Делая ставку на подлинные компоненты ПО, а не только на одни вредоносные исполняемые файлы, атакующие стремятся смешать свою активность с поведением легитимных приложений и снизить вероятность обнаружения.

JavaScript-версия полезной нагрузки использует пользовательский интерпретатор виртуальной машины

После установки или обнаружения Node.js вредоносное ПО расшифровывает полезную нагрузку на JavaScript, защищённую шифрованием AES-128-CBC и кодированием Base64. Расшифрованный код выполняется через легитимный рантайм Node.js, при этом конфигурация команд и управления передаётся как аргумент рантайма.

Исследователи сообщили, что JavaScript-вставка была сильно обфусцирована и выполнялась через пользовательский интерпретатор виртуальной машины вместо стандартного JavaScript. Эта техника существенно повышает сложность анализа вредоноса, не давая традиционным сигнатурным средствам защиты легко идентифицировать вредоносный код.

Конфигурация, размещённая в блокчейне, позволяет обновлять C2

В атаке используется блокчейн TON как устойчивая инфраструктура команд и управления, позволяющая атакующим обновлять вредоносные инструкции без изменения или повторного распространения уже установленного на скомпрометированных системах вредоноса. Следователи выявили несколько исторических доменов, связанных с кампанией в роли команд и управления. Однако вредоносное ПО не полагается исключительно на фиксированные домены для инструкций. Вместо этого операторы могут изменять данные конфигурации, размещённые в блокчейне, всякий раз, когда инфраструктура блокируется, позволяя заражённым системам получать обновлённую информацию команд и управления без необходимости замены самого вредоноса.

Вредоносное ПО способно загружать исполняемые файлы Windows, сценарии PowerShell и дополнительные полезные нагрузки на JavaScript. Перед выполнением загруженных программ для Windows оно проверяет заголовок файла Portable Executable (PE), сохраняет файл под случайно сгенерированным именем в временном каталоге и может попытаться добавить путь к файлу в список исключений Microsoft Defender, чтобы снизить вероятность обнаружения при выполнении.

Команды безопасности предупреждены: следите за фишингом и несанкционированной установкой ПО

Исследователи посоветовали организациям сохранять бдительность против фишинговых кампаний с темами поездок и бронирования, особенно писем, содержащих ссылки Google Share, которые перенаправляют пользователей на подозрительные загрузки. Также они рекомендовали отслеживать ZIP-архивы, содержащие файлы ярлыков LNK, замаскированные под изображения, а также неожиданную активность PowerShell и несанкционированные установки Node.js в корпоративных средах.

FAQ

Для чего в этой вредоносной кампании используется блокчейн TON?

Блокчейн TON используется как устойчивая инфраструктура команд и управления, позволяющая атакующим обновлять вредоносные инструкции без изменения или повторного распространения вредоноса, уже установленного на скомпрометированных системах. Операторы могут изменять данные конфигурации, размещённые в блокчейне, всякий раз, когда инфраструктура блокируется, позволяя заражённым системам получать обновлённую информацию команд и управления.

Как вредоносное ПО маскируется под легитимное программное обеспечение?

Вредоносное ПО скачивает легитимную версию Windows для Node.js из официальной инфраструктуры распространения проекта и выполняет зашифрованные полезные нагрузки на JavaScript через подлинный рантайм Node.js. Опираясь на доверенные компоненты ПО и утилиты Windows, атакующие смешивают свою активность с поведением легитимных приложений, снижая вероятность обнаружения со стороны средств безопасности.

Дисклеймер: Информация на этой странице может быть получена из источников третьих сторон и предоставляется только для ознакомления. Она не отражает взгляды или мнения Gate и не является финансовой, инвестиционной или юридической рекомендацией. Торговля виртуальными активами связана с высоким риском. Пожалуйста, не основывайте свои решения исключительно на данных этой страницы. Подробнее смотрите в Дисклеймере.
комментарий
0/400
Нет комментариев