16/09/25
Во втором квартале 2025 года специалисты HP Wolf Security зафиксировали целую серию изощрённых атак, в которых злоумышленники использовали нестандартную тактику living-off-the-land (LOTL) для обхода обнаружения. В ход идут сразу несколько малоизвестных системных утилит, а финальные вредоносные компоненты прячутся в неприметных форматах, таких как изображения или SVG-файлы. Всё это серьёзно затрудняет задачу выявления вредоносной активности и даёт атакующим возможность оставаться незамеченными, пишет Securitylab.
В одном из инцидентов исследователи описали, как с помощью целой цепочки утилит Windows был доставлен XWorm — троян удалённого доступа (RAT) с функциями кражи данных. Первоначальным вектором стали вложения в почтовых письмах с расширением CHM, замаскированные под документацию. Внутри скрывался скрипт, запускавший многоступенчатое заражение.
В цепочку был включен бинарный файл, который позволяет скопировать cscript.exe в общедоступный каталог. Затем в тот же каталог помещался VBScript, который исполнялся через PowerShell. Следом через PowerShell загружался JavaScript в ProgramData и запускался встроенным интерпретатором Windows. Ключевым звеном стало скачивание изображения с домена Tagbox — легитимного сервиса по управлению цифровыми активами. В картинке была зашифрована полезная нагрузка, которая декодировалась в объект Bitmap и в итоге запускалась через MSBuild. Таким образом финальный троян попадал в систему в обход большинства фильтров.
Внимание специалистов также привлекли кампании с использованием SVG-файлов. Эти объекты открываются в браузере и по сути ведут себя как HTML-страницы, что позволяет внедрять JavaScript или подгружать внешние ресурсы. В ряде атак жертве показывалась качественная копия страницы Acrobat Reader с анимацией загрузки документа. После имитации «загрузки» предлагалось скачать архив, якобы содержащий файл. На самом деле происходило обращение к стороннему серверу, откуда выдавался ZIP с зашифрованным JavaScript. Такой подход обеспечивал первоначальный доступ, а благодаря геофенсингу загрузки ограничивались определёнными регионами, что усложняло работу аналитиков и откладывало обнаружение.
Отдельно специалисты выделили активность Lumma Stealer. Несмотря на то, что инфраструктура этого семейства была частично уничтожена в мае 2025 года, в июне фиксировались новые рассылки. В них вредоносный код прятался в IMG-изображениях, прикреплённых к фишинговым письмам. Внутри образа находился HTA-файл, замаскированный под счёт-фактуру. Его содержимое было спрятано за длинными блоками пробелов, чтобы усложнить поверхностный анализ. При открытии HTA выполнял PowerShell-команду, загружавшую инсталлятор NSIS. Последний создавал фиктивные записи в реестре и обращался к несуществующим файлам, чтобы сбить с толку специалистов по анализу. Затем запускалась очередная PowerShell-команда, которая извлекала и исполняла файл из AppData. После нескольких стадий распаковки активировался Lumma Stealer, способный похищать учётные данные и другую ценную информацию.
