Исследователи компании Huntress зафиксировали кампанию массовых фишинговых рассылок, в которой злоумышленники используют легитимный домен Google DoubleClick Campaign Manager в качестве промежуточного звена цепочки заражения. Конечная цель — доставка трояна удалённого доступа DesckVB RAT, написанного на платформе .NET. Ключевая особенность кампании — автоматическая персонализация фишинговых страниц под каждую жертву без необходимости создавать отдельные наборы для каждой целевой организации, что делает атаку масштабируемой и экономически эффективной. Организациям, использующим Windows-инфраструктуру, рекомендуется проверить политики выполнения скриптов и настройки почтовой безопасности.
Цепочка заражения: от HTML-вложения до полного контроля
По данным исследователей, атака начинается с фишингового письма, содержащего HTML-вложение. При открытии файл выполняет перенаправление через тег meta-refresh на URL системы отслеживания кликов Google DoubleClick Campaign Manager. Поскольку домен doubleclick.net принадлежит Google, многие средства защиты электронной почты и веб-фильтры с меньшей вероятностью блокируют такой переход.
Далее жертва проходит через дополнительный редиректор, который декодирует адрес электронной почты из формата Base64 и направляет пользователя на целевую страницу с кнопкой «Download PDF». Как сообщается, фишинговый набор динамически подтягивает корпоративный брендинг и данные о местоположении жертвы, создавая убедительную имитацию легитимного ресурса без ручной настройки под каждую организацию.
Нажатие на кнопку загрузки инициирует скачивание ZIP-архива, запускающего многоступенчатую цепочку заражения:
- JavaScript-загрузчик — извлекает и запускает PowerShell-скрипт
- PowerShell-скрипт — загружает .NET-загрузчик с внешнего сервера
- .NET-загрузчик (стейджер) — выполняет проверки на наличие среды анализа, отключает средства защиты, устанавливает механизмы закрепления
- DesckVB RAT — финальная полезная нагрузка, внедряемая в легитимный процесс через технику process hollowing
Примечательно, что для внедрения вредоносного кода используются процессы, подписанные сертификатами Microsoft, что существенно затрудняет обнаружение на уровне поведенческого анализа.
Техники обхода защиты и закрепления
По данным Huntress, DesckVB RAT применяет агрессивный набор техник для ослепления систем мониторинга ещё до установления постоянного присутствия в системе:
- Патчинг AMSI (Antimalware Scan Interface) на уровне нативных API — блокирует возможность антивирусных решений сканировать скрипты и загружаемый код в памяти
- Патчинг ETW (Event Tracing for Windows) — подавляет телеметрию Windows, лишая EDR-решения потока событий
- Настройка исключений Microsoft Defender — добавляет пути и процессы в список исключений антивируса
- Обнаружение среды анализа — при выявлении инструментов анализа или песочницы вредонос завершает процессы и перезагружает машину
Для закрепления в системе троян, как сообщается, использует сразу несколько механизмов: записи в разделах реестра Run и RunOnce, а также размещение загрузчика в папке автозагрузки пользователя.
Возможности трояна
После запуска DesckVB RAT устанавливает соединение с командным сервером через сырые TCP-сокеты, выполняет разведку системы и, по данным исследователей, предоставляет операторам следующие возможности:
- Извлечение данных из скомпрометированной системы
- Выполнение произвольных команд
- Доставка и развёртывание дополнительных полезных нагрузок
Оценка воздействия
Использование легитимной инфраструктуры Google в качестве промежуточного звена — это не новый, но эффективный приём, который снижает процент обнаружения на уровне почтовых шлюзов и веб-прокси. В сочетании с автоматической персонализацией фишинговых страниц это создаёт угрозу для организаций любого размера: злоумышленникам не требуется предварительная разведка для создания убедительных приманок под конкретную компанию.
Наибольшему риску подвержены организации, в которых не настроены политики выполнения скриптов, отсутствует песочница для анализа вложений электронной почты и не развёрнуты механизмы аутентификации почтовых сообщений.
Рекомендации по защите
Для противодействия данной и аналогичным кампаниям рекомендуется реализовать следующие меры:
- Политики выполнения скриптов: через групповые политики Active Directory (GPO) настроить открытие файлов с расширениями .vbs, .hta и .js в текстовом редакторе (Notepad) по умолчанию — это блокирует первый этап цепочки заражения
- Аутентификация электронной почты: развернуть записи DMARC, DKIM и SPF для снижения вероятности доставки поддельных писем конечным пользователям
- Песочница для вложений: использовать почтовый шлюз с возможностью анализа вложений и ссылок в изолированной среде до доставки письма получателю
- Мониторинг реестра: отслеживать изменения в ключах Run, RunOnce и содержимом папки автозагрузки
- Контроль целостности AMSI и ETW: использовать EDR-решения, способные обнаруживать попытки патчинга функций AMSI и ETW на уровне нативных API
Данная кампания наглядно демонстрирует, почему эшелонированная защита остаётся критически важным принципом: ни один отдельный уровень контроля не способен гарантировать блокировку всей цепочки атаки. Приоритетным действием для администраторов Windows-инфраструктуры должна стать настройка GPO для блокировки автоматического выполнения скриптовых файлов — эта единственная мера способна прервать цепочку заражения на самом раннем этапе, до загрузки каких-либо дополнительных компонентов.
