Дослідники компанії Huntress зафіксували кампанію масових фішингових розсилок, у якій зловмисники використовують легітимний домен Google DoubleClick як проміжну ланку ланцюжка перенаправлень. Це дає змогу обходити засоби захисту електронної пошти, які з меншою ймовірністю блокують трафік через домени Google. Кінцева мета атаки — доставка .NET-завантажувача з функціональністю трояна віддаленого доступу, здатного витягувати дані, виконувати команди та завантажувати додаткові шкідливі модулі. Кампанія зачіпає організації незалежно від галузі, оскільки фішингові сторінки динамічно підлаштовуються під кожну жертву.
Ланцюжок зараження: від HTML-вкладення до повного контролю
За даними дослідників, атака починається з фішингового листа, що містить HTML-вкладення. Під час відкриття файл ініціює перенаправлення через тег meta-refresh на URL системи відстеження кліків Google DoubleClick Campaign Manager. Далі жертва проходить через додатковий редиректор, який декодує Base64-кодовану адресу електронної пошти жертви та спрямовує її на цільову сторінку з кнопкою «Download PDF».
Ключова особливість кампанії — автоматична персоналізація фішингових сторінок. Як повідомляється, система динамічно підтягує корпоративний брендинг і дані про розташування жертви, формуючи переконливу сторінку без необхідності створювати індивідуальні приманки для кожної організації. Це робить операцію масштабованою та економічно ефективною для зловмисників.
Натискання кнопки завантаження призводить до отримання ZIP-архіву, що містить JavaScript-завантажувач. Далі ланцюжок виглядає так:
- JavaScript-завантажувач витягує та запускає PowerShell-скрипт
- PowerShell-скрипт завантажує .NET-завантажувач із зовнішнього сервера
- Завантажувач виконує роль стейджера: перевіряє відсутність середовища аналізу, нейтралізує захисні механізми, забезпечує персистентність
- Фінальне корисне навантаження запускається через техніку process hollowing — впровадження коду в процеси, підписані Microsoft
Техніки ухилення від виявлення
За даними Huntress, шкідливе ПЗ застосовує багаторівневий підхід до обходу захисних механізмів Windows:
- Патчинг AMSI на рівні нативного API — вимкнення антивірусного сканування скриптів і .NET-збірок
- Патчинг ETW на рівні нативного API — «осліплення» телеметрії Windows до моменту закріплення в системі
- Налаштування винятків Microsoft Defender для запобігання виявленню компонентів
- Виявлення інструментів аналізу та пісочниць із подальшим завершенням роботи й перезапуском машини
Персистентність забезпечується через записи в реєстрі Run і RunOnce, а також розміщення завантажувача в папці автозавантаження користувача. Після запуску троян встановлює зв’язок із командним сервером через сирі TCP-сокети, виконує розвідку системи та надає зловмисникам повний контроль над зараженою машиною — включно з витягуванням даних, виконанням команд і розгортанням додаткових модулів.
Оцінка впливу
Використання легітимної інфраструктури Google як проміжної ланки — не новий, але досі ефективний прийом. Багато засобів захисту електронної пошти та вебфільтрів застосовують білі списки для доменів великих технологічних компаній, що створює «сліпу зону». У поєднанні з автоматичною персоналізацією фішингових сторінок це суттєво підвищує ймовірність успішної компрометації.
Важливе застереження: початковий аналіз Huntress було скориговано після публікації — первинна атрибуція фінального корисного навантаження до DesckVB RAT була переглянута, і тепер воно класифікується як .NET-завантажувач. Це знижує впевненість у точній ідентифікації кінцевого шкідливого ПЗ і вказує на необхідність додаткового дослідження.
Рекомендації щодо захисту
Дослідники Huntress пропонують низку конкретних заходів, здатних перервати ланцюжок зараження на ранніх етапах:
- Групові політики для скриптів: налаштуйте GPO в Active Directory так, щоб файли
.vbs,.htaі.jsза замовчуванням відкривалися в Notepad. Це блокує виконання JavaScript-завантажувача — першої активної ланки в ланцюжку після завантаження архіву - Автентифікація електронної пошти: впровадьте записи DMARC, DKIM і SPF для зниження ймовірності доставки підроблених листів
- Пісочниця для вкладень: використовуйте поштовий шлюз із функцією перевірки вкладень і посилань в ізольованому середовищі до доставки користувачеві
- Моніторинг PowerShell: відстежуйте запуск PowerShell-процесів із нетипових батьківських процесів, особливо зі скриптових інтерпретаторів
- Контроль process hollowing: налаштуйте правила виявлення для випадків, коли підписані Microsoft процеси встановлюють нетипові мережеві з’єднання по TCP
Найрезультативнішим заходом у цьому випадку є примусове відкриття скриптових файлів у текстовому редакторі через групову політику — це єдина дія, здатна повністю зупинити ланцюжок зараження на найранішому етапі після того, як користувач уже завантажив шкідливий архів. Організаціям, які ще не впровадили цей захід, слід пріоритизувати його розгортання разом із перевіркою коректності налаштувань DMARC, DKIM і SPF для своїх поштових доменів.
