Обнаружен вредоносный JavaScript, использующий агрессивные методы

Олег Иванов 11 Октября 2016 - 10:21

...

Обнаружен вредоносный JavaScript, использующий агрессивные методы

Исследователи безопасности обнаружили вредоносный сценарий, который использует агрессивную тактику, чтобы завладеть браузером и помешать пользователям удалить себя из системы.

Несмотря на то, что угроза не представляет собой что-то новое, исследователи из Kahu Security говорят, что настолько агрессивной тактики они раньше не встречали. Более того, автор настолько обфусцировал скрипт, что это создает серьезную проблему при его анализе специалистами.

Вредоносный скрипт содержит многочисленные переменные и функции, но в нем отсутствуют пробелы, переводы строки и табуляция, что очень затрудняет его анализ. Кроме того, JavaScript содержит закодированные символы поиска регулярных выражений поиска/замены, необычные преобразования базы, а также условные операторы в попытке скрыть его умысел.

Для того, чтобы закрепиться на зараженной машине, скрипт делает копию wscript.exe, а затем переименовывает его, присваивая случайное имя и сохраняет его в новую папку в AppData\Roaming. Вредонос также создает свою копию и использует копию wscript.exe для запуска сценария.

Эксперты также отмечают, что скрипт использует определенные ключи реестра, чтобы скрыть папку, а затем создает ярлык в папке автозагрузки. Таким образом, скрипт будет запускаться при каждом старте системы.

Кроме того, скрипт проверяет, может ли он получить доступ к Microsoft, Google и Bing, а затем отправляет данные о зараженном компьютере на urchintelemetry[.]com и загружает зашифрованный файл из 95.153.31[.]22. Этот файл представляет собой скрипт, предназначенный для изменения начальной страницы в Internet Explorer, Firefox и Chrome на login.hhtxnet[.]com.

При запуске браузера, пользователь перенаправляется на portalne[.]ws. Исследователи также говорят о том, что командный центр вредоноса выглядит нефункционирующим, однако, если отправлен определенный правильный POST, командный центр ответит.

Зловред также использует инструментарий управления Windows, чтобы защитить себя от различных антивирусных программ. Таким образом, если скрипт видит процессы определенных программ, он завершает их необычным способом – отображая сообщение, которое призвано заставить пользователей думать, что программа не работает.

Если пользователь завершает процесс WScript, связанный с вредоносом, компьютер сразу же выключается. Для того, чтобы все-таки удалить зловред, нужно перезагрузить компьютер в безопасном режиме, либо войти в другую учетную запись и удалить ссылку запуска в папке roaming. Исследователям безопасности рекомендуется переименовывать свои процессы во что-нибудь безобидное, если они хотят заняться анализом этого вредоноса.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 06 Мая 2025 - 11:15

Windows Бэкдоры Трояны Фишинг Кибершпионаж Целевые атаки Таргетированные атаки Корпорации Государство F6

Core Werewolf атакует оборонку России и Беларуси через PDF-приманки

Эксперты департамента киберразведки компании F6 зафиксировали новую волну активности хакерской группировки Core Werewolf, которая традиционно охотится за российскими и белорусскими военными структурами. Основная цель — организации, связанные с оборонкой и критической инфраструктурой.

Core Werewolf известна с августа 2021 года. В арсенале — всё те же инструменты: UltraVNC и MeshCentral, которые позволяют злоумышленникам получать удалённый доступ к заражённым устройствам.

Как прошла последняя атака

2 мая 2025 года на одну из публичных песочниц был загружен .eml-файл. Письмо датировано 29 апреля и отправлено с адреса al.gursckj@mail[.]ru. Во вложении — защищённый паролем архив с названием «Списки_на_нагр.7z». F6 сразу сопоставили его со стилем и техникой Core Werewolf.

Внутри архива оказался исполняемый файл с длинным бюрократическим названием: «Списки на уточнение вс представляемых к награждению гос награды.exe». Это был дроппер — при запуске он распаковывает временные файлы и запускает PDF-документ-приманку с таким же названием, чтобы не вызывать подозрений. В это же время в фоне стартует CMD-скрипт, запускающий вредоносную цепочку.

Первым в дело вступает crawl.cmd: он достаёт содержимое из скрытого архива и передаёт управление скрипту kingdom.bat. Тот формирует конфигурационный файл для UltraVNC (ultravnc.ini), где уже всё подготовлено:

задан пароль,
включён перенос файлов,
разрешён удалённый вход,
отключён запрос подтверждения подключения.

Далее запускается mosque.bat: он убивает процессы UltraVNC (если они уже запущены), проверяет соединение с C2-сервером stroikom-vl[.]ru, а затем запускает клиента VNC под видом процесса Sysgry.exe.

Формат с «наградными списками» — не новинка. Ранее Core Werewolf уже использовала похожие приманки: документы с военными координатами, списками объектов, докладами и прочими якобы «официальными» файлами.

Атака от 17 апреля: ещё один артефакт

F6 также обнаружила другой подозрительный файл — undoubtedly.exe, загруженный на VirusTotal. Он тоже связан с Core Werewolf и, судя по всему, применялся против российских военных структур.

Внутри дроппера — очередной PDF-документ: «Отсканированные документы_785_Выписка по противнику_по_состоянию_на_04_14_к_докладу.pdf». Типичная военная тематика.

Также распаковывался скрипт conscience.cmd, запускающий аналогичную вредоносную цепочку: