16/04/25
По информации Check Point Research, с января 2025 года злоумышленники рассылают фальшивые письма якобы от имени министерств иностранных дел, приглашая на дегустацию вина. При этом используются поддельные домены «bakenhof[.]com» и «silry[.]com».
Скрытая угроза содержится в архиве «wine.zip», доступ к которому получают только жертвы, соответствующие определённым критериям. В противном случае пользователь перенаправляется на реальный сайт ведомства, что помогает избежать подозрений. Внутри архива — легитимный исполняемый файл («wine.exe»), замаскированный под презентацию PowerPoint, а также вредоносный компонент «ppcore.dll», выполняющий роль загрузчика, получившего имя GrapeLoader.
Вредоносный код запускается через технику подмены DLL-файлов и сразу же начинает сбор сведений о системе, пишет Securitylab. Затем в реестр Windows вносятся изменения, обеспечивающие автозапуск, а после этого устанавливается соединение с управляющим сервером, откуда загружается основной вредоносный код в память устройства. Защита от обнаружения реализована через задержку запуска на 10 секунд и использование защиты памяти PAGE_NOACCESS, что помогает избежать детектирования средствами антивируса и EDR .
Исследователи указывают, что GrapeLoader пришёл на смену более раннему загрузчику RootSaw, отличаясь более высокой степенью скрытности и продуманной архитектурой. Его основная задача — разведка и доставка следующего этапа атаки, модульного бэкдора WineLoader, маскирующегося под легитимную библиотеку VMware Tools.
WineLoader собирает подробную информацию о заражённой машине: IP-адрес, имя пользователя и компьютера, идентификатор процесса, уровень привилегий и другие параметры. Эти данные могут использоваться для определения, запущен ли вредонос в песочнице, а также для оценки необходимости доставки дополнительных компонентов.
Обнаруженный вариант WineLoader имеет улучшенную защиту от анализа — используется дублирование относительных виртуальных адресов, подмена таблицы экспорта, вставка мусорных инструкций и сложная схема обфускации строк. Если ранее инструменты автоматического анализа вроде FLOSS могли без труда извлекать строки из вредоносного кода, то теперь этот подход оказался неэффективным из-за более продуманной реализации.
Из-за того, что вся вредоносная активность выполняется только в памяти, и рассылка писем носит строго целевой характер, Check Point не удалось получить полную версию второго этапа WineLoader и дополнений к нему. Поэтому точный объём возможностей вредоноса пока неизвестен.
