20/06/25
.avif)
Обнаруженная специалистами Seqrite Labs кампания по распространению усовершенствованной версии вредоносной программы Masslogger демонстрирует растущую изощрённость фишинговых атак, в которых файлы не сохраняются на диск, а полностью действуют через системный реестр Windows, пишет Securitylab.
Атака начинается с запуска зашифрованного .VBE-файла, который расшифровывается в памяти и использует многослойную обфускацию, затрудняющую его анализ. Затем вредоносный код создаёт разветвлённую структуру ключей и значений в ветке «HKCU\Software» системного реестра, где хранятся фрагменты основного вредоносного модуля длиной по 25 тысяч символов. Для обеспечения постоянного присутствия в системе настраивается задача в планировщике Windows, которая каждую минуту запускает скрипт, симулирующий пользовательский ввод и инициирующий загрузку основной нагрузки через PowerShell.
Установка происходит в несколько этапов. Первый из них — извлечение малого .NET-бинарника (Stager-1) из реестра, который затем активирует следующий компонент (Stager-2). Этот этап завершает развёртывание основного модуля Masslogger через внедрение в легитимный процесс AddInProcess32.exe. Такой метод маскировки — Process Hollowing — позволяет вредоносной программе действовать незаметно даже для продвинутых систем защиты.
В конечной фазе инфостилер Masslogger сосредотачивается на сборе конфиденциальных данных. Он перехватывает логины и пароли из браузеров (включая Chrome), электронных почтовых клиентов, применяет кейлоггинг и отслеживает пользовательскую активность. Затем собранная информация может быть выведена с устройства по нескольким каналам — через FTP, SMTP или с использованием Telegram Bot API, причём злоумышленники заранее вшивают в код данные доступа к этим каналам.
Отдельного внимания заслуживает механизм антианализа. Вредоносная программа проверяет наличие активных антивирусов, запрашивая статус через ключи реестра, и завершает выполнение, если обнаруживает несколько одновременно работающих систем безопасности. Кроме того, фиксируется геотаргетированное поведение: при обнаружении французской системы вредонос пытается загрузить дополнительную нагрузку с жёстко заданного URL, который на момент анализа уже был недоступен.
В финале цикла программа устраняет все следы: завершаются процессы conhost.exe и PowerShell.exe, чтобы очистить историю команд и удалить из памяти оставшиеся следы своей активности.
