Аналитики компании Doctor Web сообщают о выявлении необычного трояна Trojan.ChimeraWire, ориентированного на операционные системы Windows. Вредоносное ПО не шифрует файлы и не крадет деньги напрямую — его задача куда тоньше: имитировать поведение реального пользователя в браузере и накручивать позиции сайтов в поисковой выдаче, оставаясь при этом максимально незаметным.
Техническая основа ChimeraWire и целевая платформа
ChimeraWire построен на базе открытых проектов zlsgo и Rod, применяемых для автоматизации работы с сайтами и веб-приложениями через браузер. Злоумышленники переосмыслили эти легитимные инструменты и превратили их в мощный модуль для удалённого управления браузером жертвы.
Малварь нацелена на Windows-системы и использует браузер Google Chrome в портативном варианте: скачивает собственную сборку Chrome для нужной платформы с управляемого ресурса и запускает ее в режиме удалённой отладки, без видимого окна. Управление осуществляется через WebSocket-подключение к порту отладки, что позволяет выполнять сложные сценарии «клика» в полностью автоматическом режиме.
Цепочки заражения: от загрузчиков до финального трояна
Первая цепочка: Python-скрипт и подмена DLL в OneDrive
Одна из зафиксированных схем заражения начинается с трояна Trojan.DownLoader48.54600. На начальном этапе он проверяет наличие виртуальной машины и отладчиков, используя антиотладочные приёмы. Если среда «чистая», загрузчик подтягивает архив python3.zip, содержащий Python-скрипт Python.Downloader.208 и вредоносную библиотеку ISCSIEXE.dll (Trojan.Starter.8377).
Скрипт сначала определяет уровень привилегий. При отсутствии прав администратора он задействует уязвимость DLL Search Order Hijacking: копирует вредоносную DLL в каталог WindowsApps, создаёт VBS-скрипт и запускает системную утилиту iscsicpl.exe, которая автоматически подхватывает подложенную библиотеку. Та, в свою очередь, перезапускает Python-скрипт уже с повышенными правами.
Получив админ-доступ, Python.Downloader.208 загружает архив onedrive.zip с легитимным, цифрово подписанным OneDrivePatcher.exe и DLL UpdateRingSettings.dll (Trojan.DownLoader48.54318). Через снова эксплуатируемый DLL Search Order Hijacking OneDrivePatcher.exe подгружает вредоносную библиотеку, которая скачивает и расшифровывает финальную полезную нагрузку — Trojan.ChimeraWire, упакованный в ZLIB-контейнер вместе с шеллкодом.
Вторая цепочка: Masquerade PEB, ATL.dll и WMI
Во второй схеме заражение начинается с Trojan.DownLoader48.61444. Если на старте нет прав администратора, вредонос применяет технику Masquerade PEB, маскируясь под системный процесс explorer.exe. Далее он патчит копию системной библиотеки ATL.dll, внедряя в нее расшифрованный байт-код и путь к собственному файлу, после чего регистрирует изменённую DLL в окружении WMI.
Для повышения привилегий троян использует COM-интерфейс CMSTPLUA, что позволяет задействовать уязвимости в устаревших COM-компонентах. После успешной эскалации прав модифицированная ATL.dll копируется в каталог %SystemRoot%\System32\wbem, а запуск WmiMgmt.msc через mmc.exe приводит к автоматической загрузке подложенной библиотеки (очередной DLL Search Order Hijacking). В результате Trojan.DownLoader48.61444 стартует повторно уже с правами администратора.
С приобретёнными привилегиями он выполняет PowerShell-скрипты, загружая два архива: one.zip с OneDrivePatcher.exe и UpdateRingSettings.dll (полностью повторяя цепочку первой схемы), а также two.zip с Python-скриптом Python.Downloader.208 (update.py) и переименованным интерпретатором Guardian.exe. Для обоих компонентов создаются задачи в планировщике, обеспечивающие устойчивость и автозапуск.
Работа ChimeraWire: скрытый Chrome, CAPTCHA и накрутка поисковой выдачи
После закрепления на системе ChimeraWire скачивает с управляющего ресурса архив chrome-win.zip с портативной версией Chrome (на сервере также присутствуют варианты для Linux и macOS). Вредонос пытается незаметно установить расширения NopeCHA и Buster, предназначенные для автоматического обхода CAPTCHA, что ещё больше приближает активность к поведению реальных пользователей.
Запуск Chrome происходит в режиме отладки без графического интерфейса. ChimeraWire подключается к выбранному порту отладки по протоколу WebSocket и запрашивает у управляющего сервера задания. Ответ представляет собой base64-строку с зашифрованной (AES‑GCM) конфигурацией в формате JSON. В конфигурации задаются:
— целевая поисковая система: Google или Bing;
— ключевые фразы и домены для продвижения;
— лимиты на число кликов и глубину переходов;
— временные задержки для загрузки страниц и паузы между сессиями;
— вероятностные модели кликов (например, распределение вида «1:90, 2:10»).
Имитация реального пользователя и обход антибот-защиты
Следуя конфигурации, ChimeraWire формирует поисковые запросы, открывает результаты и анализирует найденные сайты. Троян извлекает все HTML-элементы с гиперссылками, помещает их в массив и перемешивает, чтобы нарушить естественный порядок элементов на странице. Это помогает обойти поведенческие фильтры и антибот-системы, отслеживающие последовательность кликов.
Далее вредонос проверяет ссылки на соответствие заданным шаблонам. Если релевантных совпадений достаточно, он сортирует их по степени соответствия ключевым словам и переходит по одной или нескольким лучшим целям. Если совпадений мало или нет вовсе, вступает в силу вероятностная модель поведения: на основе весов из конфигурации троян случайным образом выбирает, по скольким ссылкам и в каком порядке кликать. После каждого перехода он может вернуться в выдачу, открыть новые вкладки или продолжить просмотр текущего сайта, пока не будет достигнут лимит по кликам.
Возможные сценарии злоупотребления и риски для бизнеса
На текущем этапе исследователи фиксируют у ChimeraWire в первую очередь функции «браузерного кликера» для накрутки трафика и позиций сайтов в поиске. Однако заложенная архитектура позволяет значительно расширить круг задач. По сути, это универсальный инструмент автоматизации браузера под видом реального пользователя.
Помимо SEO-фрода, такой троян может использоваться для массового заполнения веб-форм (опросы, рекламные кампании, регистрации), проведения накрутки метрик на любых онлайн-платформах, а также для сбора данных: чтения содержимого страниц, создания скриншотов и последующего извлечения контактной информации (e‑mail, телефоны и т. д.). На фоне ежегодного роста убытков от рекламного мошенничества, измеряемых в индустрии десятками миллиардов долларов, появление подобных инструментов делает проблему ещё более острой.
Организациям рекомендуется уделять повышенное внимание контролю целостности системных библиотек, мониторингу аномальной активности планировщика задач и PowerShell, ограничению запуска непроверенных интерпретаторов (Python, встроенные консоли), а также регулярному обновлению Windows и компонентов COM для минимизации риска эксплуатации уязвимостей типа DLL Search Order Hijacking и CMSTPLUA. Дополнительный слой защиты обеспечат современные EDR/EDR‑решения и сетевой мониторинг, способный выявлять нетипичные загрузки браузеров и расширений.
