Admin
Администратор
Доказали, что вы не робот? Теперь это значит, что вы только что сами установили себе вирус.
Хакеры стали настолько ленивыми, что просят пользователей взломать самих себя.
Новая вредоносная кампания показала, что фантазия киберпреступников продолжает расти: теперь они научились маскировать заражение под обычную проверку «Я не робот», используя легитимные инструменты Windows и подписанные компоненты Microsoft. В итоге жертва сама запускает вредоносную цепочку, которая незаметно приводит к заражению компьютера шпионским трояном Amatera.
Атака начинается с поддельной CAPTCHA-страницы, которая имитирует стандартную проверку на «человека». Пользователю предлагают вручную вставить и выполнить команду через окно «Выполнить» в Windows. На этом этапе используется метод ClickFix, при котором жертву убеждают самостоятельно запускать команды PowerShell. При этом пользователь не подозревает, что команды вредоносные.
Вставленная команда задействует легитимный скрипт Microsoft Application Virtualization под названием SyncAppvPublishingServer.vbs. Это корпоративный компонент Windows, предназначенный для управления виртуализированными приложениями. Скрипт запускается через доверенный процесс wscript.exe и проксирует выполнение PowerShell, что позволяет замаскировать вредоносную активность под обычную работу системных инструментов.
На первом этапе система проверяет, что команду действительно выполнил человек, что порядок выполнения не нарушен и что данные в буфере обмена не менялись. Это нужно для защиты от автоматического анализа в песочницах. Если среда выглядит как аналитическая, выполнение просто зависает в бесконечном ожидании, чтобы тратить ресурсы систем безопасности.
После этого вредоносный код загружает конфигурационные данные из публичного календаря Google, где параметры спрятаны в виде закодированных значений внутри одного из событий. Далее через инструментарий управления ОС (Windows Management Instrumentation, WMI) создается скрытый 32-битный процесс PowerShell, в который загружаются и расшифровываются несколько полезных нагрузок прямо в памяти.
На следующем этапе злоумышленники используют стеганографию. Зашифрованный PowerShell-код прячется внутри PNG-изображений, размещенных в публичных сетях доставки контента (Content Delivery Network, CDN). Эти изображения загружаются через стандартные сетевые интерфейсы API Windows, после чего данные извлекаются с помощью метода сокрытия информации путём замены наименее значащих битов в цифровых файлах (Least Significant Bit, LSB, LSB-стеганография), расшифровываются, распаковываются через утилиту GZip и исполняются без записи файлов на диск.
Финальная стадия расшифровывает и запускает нативный шелл-код, который загружает инфостилер Amatera. После активации вредоносная программа подключается к жестко заданному IP-адресу, получает настройки и ожидает дополнительные модули, передаваемые по HTTP-запросам.
По данным BlackPoint Cyber, Amatera представляет собой типичный инфостилер, способный похищать данные браузеров и учетные записи пользователей. Специалисты отмечают, что он основан на коде стилера ACR, активно развивается и распространяется по модели «вредоносное ПО как услуга» (malware-as-a-service, MaaS). По информации Proofpoint, каждая новая версия Amatera становится заметно сложнее и технологичнее предыдущей.
Специалисты подчеркивают, что операторы Amatera уже использовали атаки по методу ClickFix ранее, но это первый зафиксированный случай, когда в такой схеме применяется подписанный скрипт App-V Microsoft, что делает обнаружение атаки значительно сложнее.
В качестве мер защиты специалисты рекомендуют ограничить доступ к окну «Выполнить» через групповые политики, удалять компоненты App-V, если они не используются, включать расширенное логирование PowerShell и отслеживать сетевые соединения с подозрительными несоответствиями между IP-адресами и заголовками HTTP или TLS SNI.
Последнее редактирование:
