19/06/25
Эту сложную многоэтапную схему заражения выявила компания Securonix, зафиксировав активность сразу в нескольких регионах — в том числе в США, Великобритании, Германии, а также ряде стран Европы и Азии.
Первый этап атаки начинается с массовой рассылки писем с темами, связанными с оплатой или счётом. Во вложениях — ZIP-архив с ярлыком Windows, замаскированным под PDF-документ. Открытие такого файла запускает цепочку заражения, при которой происходит скачивание скрипта с удалённого WebDAV-сервера, размещённого на поддомене Cloudflare Tunnel. Это позволяет злоумышленникам использовать инфраструктуру популярного облачного сервиса в качестве неприметного транспортного слоя, способного обходить защитные механизмы, блокирующие подозрительные домены.
Следующий этап задействует Windows Script File (WSF), запускаемый через cscript.exe. Этот скрипт, написанный на VBScript, выполняет загрузку внешнего батч-файла — kiki.bat, также размещённого на поддомене Cloudflare. Он подменяет пользовательский опыт, открывая поддельный PDF-документ, чтобы отвлечь внимание жертвы, а затем выполняет проверку на наличие антивирусных программ и загружает следующий полезный нагрузочный компонент — скрипты на Python.
На завершающей стадии применяется загрузчик, созданный на Python, который внедряет в память вредоносный код, упакованный с помощью инструмента Donut — известного open-source средства для инъекций в память. Среди возможных исполняемых нагрузок обнаружены AsyncRAT, Revenge RAT и другие RAT-инструменты (удалённый доступ), такие как GuLoader, Remcos, PureLogs Stealer, XWorm и Venom RAT. Все они действуют исключительно в памяти, не оставляя следов в файловой системе, что серьёзно осложняет их обнаружение.
Особое внимание специалисты обратили на эволюцию начальных векторов доступа, согласно Securitylab. Если ранее злоумышленники использовали файлы интернет-ярлыков (URL), то теперь основным способом стали обычные Windows-ярлыки (LNK), выдаваемые за документы. Эти подделки активируют загрузку через WebDAV, используя поддомены вида «.trycloudflare[.]com», что делает вредоносный трафик практически неотличимым от легитимного.
Кроме того, в исходном коде батч- и VBScript-файлов аналитики обнаружили подробные комментарии, что может свидетельствовать об участии в создании вредоносной логики языковых моделей — по аналогии с генерацией кода на основе LLM. В совокупности это превращает кампанию в трудноотслеживаемую, многослойную и тщательно замаскированную угрозу.
Securonix предупреждает, что кампания продолжается и может быть перенастроена для новых регионов и сценариев, а также отмечает, что авторы демонстрируют хорошее владение английским языком, но их точная принадлежность остаётся неустановленной.
