Исследователи компании Huntress зафиксировали кампанию массовых фишинговых рассылок, в которой злоумышленники используют легитимный домен Google DoubleClick в качестве промежуточного звена цепочки перенаправлений. Это позволяет обходить средства защиты электронной почты, которые с меньшей вероятностью блокируют трафик через домены Google. Конечная цель атаки — доставка .NET-загрузчика с функциональностью трояна удалённого доступа, способного извлекать данные, выполнять команды и загружать дополнительные вредоносные модули. Кампания затрагивает организации вне зависимости от отрасли, поскольку фишинговые страницы динамически подстраиваются под каждую жертву.
Цепочка заражения: от HTML-вложения до полного контроля
По данным исследователей, атака начинается с фишингового письма, содержащего HTML-вложение. При открытии файл инициирует перенаправление через тег meta-refresh на URL системы отслеживания кликов Google DoubleClick Campaign Manager. Далее жертва проходит через дополнительный редиректор, который декодирует Base64-закодированный адрес электронной почты жертвы и направляет её на посадочную страницу с кнопкой «Download PDF».
Ключевая особенность кампании — автоматическая персонализация фишинговых страниц. Как сообщается, система динамически подтягивает корпоративный брендинг и данные о местоположении жертвы, формируя убедительную страницу без необходимости создавать индивидуальные приманки для каждой организации. Это делает операцию масштабируемой и экономически эффективной для атакующих.
Нажатие на кнопку загрузки приводит к получению ZIP-архива, содержащего JavaScript-загрузчик. Дальнейшая цепочка выглядит следующим образом:
- JavaScript-загрузчик извлекает и запускает PowerShell-скрипт
- PowerShell-скрипт загружает .NET-загрузчик с внешнего сервера
- Загрузчик выполняет роль стейджера: проверяет отсутствие среды анализа, нейтрализует защитные механизмы, устанавливает персистентность
- Финальная полезная нагрузка запускается через технику process hollowing — внедрение кода в процессы, подписанные Microsoft
Техники уклонения от обнаружения
Вредоносное ПО, по данным Huntress, применяет многоуровневый подход к обходу защитных механизмов Windows:
- Патчинг AMSI на уровне нативного API — отключение антивирусного сканирования скриптов и .NET-сборок
- Патчинг ETW на уровне нативного API — «ослепление» телеметрии Windows до момента закрепления в системе
- Настройка исключений Microsoft Defender для предотвращения обнаружения компонентов
- Обнаружение инструментов анализа и песочниц с последующим завершением работы и перезагрузкой машины
Персистентность обеспечивается через записи в реестре Run и RunOnce, а также размещение загрузчика в папке автозагрузки пользователя. После запуска троян устанавливает связь с командным сервером через сырые TCP-сокеты, выполняет разведку системы и предоставляет атакующим полный контроль над заражённой машиной — включая извлечение данных, выполнение команд и развёртывание дополнительных модулей.
Оценка воздействия
Использование легитимной инфраструктуры Google в качестве промежуточного звена — не новый, но по-прежнему эффективный приём. Многие средства защиты электронной почты и веб-фильтры применяют белые списки для доменов крупных технологических компаний, что создаёт слепую зону. В сочетании с автоматической персонализацией фишинговых страниц это существенно повышает вероятность успешной компрометации.
Важная оговорка: исходный анализ Huntress был скорректирован после публикации — первоначальная атрибуция финальной полезной нагрузки к DesckVB RAT была пересмотрена, и теперь она классифицируется как .NET-загрузчик. Это снижает уверенность в точной идентификации конечного вредоносного ПО и указывает на необходимость дополнительного исследования.
Рекомендации по защите
Исследователи Huntress предлагают ряд конкретных мер, способных прервать цепочку заражения на ранних этапах:
- Групповые политики для скриптов: настройте GPO в Active Directory так, чтобы файлы
.vbs,.htaи.jsпо умолчанию открывались в Notepad. Это блокирует выполнение JavaScript-загрузчика — первого активного звена цепочки после загрузки архива - Аутентификация электронной почты: внедрите записи DMARC, DKIM и SPF для снижения вероятности доставки поддельных писем
- Песочница для вложений: используйте почтовый шлюз с функцией проверки вложений и ссылок в изолированной среде до доставки пользователю
- Мониторинг PowerShell: отслеживайте запуск PowerShell-процессов из нетипичных родительских процессов, особенно из скриптовых интерпретаторов
- Контроль process hollowing: настройте правила обнаружения для случаев, когда подписанные Microsoft процессы устанавливают нетипичные сетевые соединения по TCP
Наиболее результативной мерой в данном случае является принудительное открытие скриптовых файлов в текстовом редакторе через групповую политику — это единственное действие, способное полностью остановить цепочку заражения на самом раннем этапе после того, как пользователь уже загрузил вредоносный архив. Организациям, ещё не внедрившим эту меру, следует приоритизировать её развёртывание наряду с проверкой корректности настроек DMARC, DKIM и SPF для своих почтовых доменов.
