Дослідники компанії Huntress зафіксували кампанію масових фішингових розсилок, у якій зловмисники використовують легітимний домен Google DoubleClick Campaign Manager як проміжну ланку ланцюжка зараження. Кінцева мета — доставлення троянця віддаленого доступу DesckVB RAT, написаного на платформі .NET. Ключова особливість кампанії — автоматична персоналізація фішингових сторінок під кожну жертву без потреби створювати окремі набори для кожної цільової організації, що робить атаку масштабованою й економічно ефективною. Організаціям, які використовують Windows-інфраструктуру, рекомендується перевірити політики виконання скриптів і налаштування поштової безпеки.
Ланцюжок зараження: від HTML-вкладення до повного контролю
За даними дослідників, атака починається з фішингового листа, що містить HTML-вкладення. Під час відкриття файл виконує перенаправлення через тег meta-refresh на URL системи відстеження кліків Google DoubleClick Campaign Manager. Оскільки домен doubleclick.net належить Google, багато засобів захисту електронної пошти та веб-фільтри з меншою ймовірністю блокують такий перехід.
Далі жертва проходить через додатковий редиректор, який декодує адресу електронної пошти з формату Base64 і спрямовує користувача на цільову сторінку з кнопкою «Download PDF». Як повідомляється, фішинговий набір динамічно підтягує корпоративний брендинг і дані про місцезнаходження жертви, створюючи переконливу імітацію легітимного ресурсу без ручного налаштування під кожну організацію.
Натискання кнопки завантаження ініціює скачування ZIP-архіву, який запускає багатоступеневий ланцюжок зараження:
- JavaScript-завантажувач — витягує та запускає PowerShell-скрипт
- PowerShell-скрипт — завантажує .NET-завантажувач із зовнішнього сервера
- .NET-завантажувач (стейджер) — виконує перевірки на наявність середовища аналізу, відключає засоби захисту, встановлює механізми закріплення
- DesckVB RAT — фінальне корисне навантаження, яке впроваджується в легітимний процес через техніку process hollowing
Примітно, що для впровадження шкідливого коду використовуються процеси, підписані сертифікатами Microsoft, що суттєво ускладнює виявлення на рівні поведінкового аналізу.
Техніки обходу захисту та закріплення
За даними Huntress, DesckVB RAT застосовує агресивний набір технік для «осліплення» систем моніторингу ще до встановлення постійної присутності в системі:
- Патчинг AMSI (Antimalware Scan Interface) на рівні нативних API — блокує можливість антивірусних рішень сканувати скрипти та завантажуваний код у пам’яті
- Патчинг ETW (Event Tracing for Windows) — пригнічує телеметрію Windows, позбавляючи EDR-рішення потоку подій
- Налаштування винятків Microsoft Defender — додає шляхи та процеси до списку винятків антивіруса
- Виявлення середовища аналізу — у разі виявлення інструментів аналізу або пісочниці шкідливе ПЗ завершує процеси й перезавантажує машину
Для закріплення в системі троянець, як повідомляється, використовує одразу кілька механізмів: записи в розділах реєстру Run і RunOnce, а також розміщення завантажувача в папці автозавантаження користувача.
Можливості троянця
Після запуску DesckVB RAT встановлює з’єднання з командним сервером через сирі TCP-сокети, виконує розвідку системи та, за даними дослідників, надає операторам такі можливості:
- Витяг даних зі скомпрометованої системи
- Виконання довільних команд
- Доставка та розгортання додаткових корисних навантажень
Оцінка впливу
Використання легітимної інфраструктури Google як проміжної ланки — не новий, але ефективний прийом, який знижує відсоток виявлення на рівні поштових шлюзів і веб-проксі. У поєднанні з автоматичною персоналізацією фішингових сторінок це створює загрозу для організацій будь-якого розміру: зловмисникам не потрібна попередня розвідка для створення переконливих приманок під конкретну компанію.
Найбільшому ризику піддаються організації, у яких не налаштовані політики виконання скриптів, відсутня пісочниця для аналізу вкладень електронної пошти та не розгорнуті механізми автентифікації поштових повідомлень.
Рекомендації щодо захисту
Щоб протидіяти цій та подібним кампаніям, рекомендується реалізувати такі заходи:
- Політики виконання скриптів: через групові політики Active Directory (GPO) налаштувати відкриття файлів із розширеннями .vbs, .hta та .js у текстовому редакторі (Notepad) за замовчуванням — це блокує перший етап ланцюжка зараження
- Автентифікація електронної пошти: розгорнути записи DMARC, DKIM і SPF для зниження ймовірності доставки підроблених листів кінцевим користувачам
- Пісочниця для вкладень: використовувати поштовий шлюз із можливістю аналізу вкладень і посилань в ізольованому середовищі до доставки листа одержувачу
- Моніторинг реєстру: відстежувати зміни в ключах Run, RunOnce і вмісті папки автозавантаження
- Контроль цілісності AMSI та ETW: використовувати EDR-рішення, здатні виявляти спроби патчинга функцій AMSI та ETW на рівні нативних API
Ця кампанія наочно демонструє, чому ешелонований захист залишається критично важливим принципом: жоден окремий рівень контролю не здатний гарантувати блокування всього ланцюжка атаки. Пріоритетною дією для адміністраторів Windows-інфраструктури має стати налаштування GPO для блокування автоматичного виконання скриптових файлів — цей єдиний захід здатен перервати ланцюжок зараження на найранішому етапі, до завантаження будь-яких додаткових компонентів.
