На відміну від класичних шифрувальників чи банківських троянів, Trojan.ChimeraWire не шифрує файли та не краде гроші напряму. Його основна мета — непомітно перетворити комп’ютер користувача на «браузерний клікер», який імітує реальний трафік у Google та Bing, просуваючи потрібні сайти в пошуковій видачі та рекламних кампаніях.
ChimeraWire: архітектура браузерного трояна для Windows
ChimeraWire побудований на базі відкритих проєктів zlsgo та Rod, що легітимно застосовуються для автоматизації роботи з веб-сайтами через браузер. У шкідливому виконанні ці інструменти перетворені на модуль віддаленого керування браузером жертви.
Троян орієнтований на Windows та використовує портативну версію Google Chrome. Він завантажує власний збірник Chrome з керованого сервера, запускає його в режимі remote debugging без видимого вікна та керує ним через WebSocket-підключення до порту відладки. Це дозволяє виконувати складні сценарії кліків та переходів повністю автоматично, але зі збереженням «людського» патерну поведінки.
Ланцюги зараження: як ChimeraWire закріплюється в системі
Python-скрипти, DLL Search Order Hijacking та OneDrivePatcher
Одна з виявлених схем починається з завантажувача Trojan.DownLoader48.54600, який перевіряє наявність віртуального середовища та відладчиків. Якщо аналізу не виявлено, він завантажує архів python3.zip із скриптом Python.Downloader.208 та бібліотекою ISCSIEXE.dll (Trojan.Starter.8377).
За відсутності прав адміністратора скрипт застосовує техніку DLL Search Order Hijacking: копіює шкідливу DLL у каталог WindowsApps, створює VBS-скрипт і запускає iscsicpl.exe, який автоматично підвантажує підкладену бібліотеку. Та, у свою чергу, перезапускає Python-скрипт уже з підвищеними привілеями.
Отримавши адмін-доступ, Python.Downloader.208 завантажує архів onedrive.zip з легітимним, цифрово підписаним OneDrivePatcher.exe та DLL UpdateRingSettings.dll (Trojan.DownLoader48.54318). Повторно використовуючи DLL Search Order Hijacking, OneDrivePatcher.exe підвантажує шкідливу бібліотеку, яка викачує й розшифровує фінальний компонент — Trojan.ChimeraWire у контейнері ZLIB разом із шеллкодом.
Masquerade PEB, модифікація ATL.dll, WMI та CMSTPLUA
Друга ланка зараження стартує з Trojan.DownLoader48.61444. За відсутності адмін-прав він застосовує прийом Masquerade PEB, маскуючись під системний процес explorer.exe, а потім патчить копію системної бібліотеки ATL.dll, впроваджуючи розшифрований байт-код і шлях до свого файлу.
Для ескалації привілеїв використовують COM-інтерфейс CMSTPLUA, відомий можливістю обходу UAC через уразливі або застарілі COM-компоненти. Після підвищення прав змінена ATL.dll копіюється до %SystemRoot%\System32\wbem, і при запуску WmiMgmt.msc через mmc.exe система завантажує підкладену бібліотеку, що знову активує Trojan.DownLoader48.61444 вже з правами адміністратора.
З підвищеними привілеями троян запускає PowerShell-скрипти, завантажуючи два архіви: one.zip із OneDrivePatcher.exe та UpdateRingSettings.dll (повторює попередній ланцюг) та two.zip з Python.Downloader.208 (update.py) і переіменованим інтерпретатором Guardian.exe. Для них створюються завдання в Планувальнику завдань, що забезпечує стійкість і автозапуск.
Механіка ChimeraWire: прихований Chrome, CAPTCHA та накрутка трафіку
Після закріплення ChimeraWire завантажує архів chrome-win.zip із портативним Chrome (на сервері також є збірки для Linux та macOS). Троян намагається непомітно встановити розширення NopeCHA і Buster, призначені для автоматичного проходження CAPTCHA, що ще більше наближує активність до поведінки реальних користувачів.
Браузер запускається в режимі відладки без графічного інтерфейсу. ChimeraWire підключається по WebSocket до порту відладки й отримує завдання з керуючого сервера. Відповідь містить base64-рядок із зашифрованою (AES‑GCM) JSON-конфігурацією, де визначаються цільова пошукова система (Google чи Bing), ключові фрази та домени, ліміти за кількістю кліків і глибиною переходів, затримки завантаження сторінок і імовірнісні моделі кліків (наприклад, розподіл «1:90, 2:10»).
Імітація людської поведінки та обхід антибот-систем
Відповідно до конфігурації троян формує пошукові запити, відкриває результати та аналізує сторінку видачі. Усі HTML-елементи з посиланнями збираються в масив, який перемішується, щоб порушити стандартний порядок елементів. Це ускладнює виявлення аномалій за послідовністю кліків аналітичними й антибот-системами.
ChimeraWire порівнює посилання з цільовими шаблонами, сортує їх за релевантністю й переходить за найбільш підходящими. Якщо збігів недостатньо, в дію вступає імовірнісна модель поведінки: на основі заданих ваг троян випадковим чином обирає, скільки посилань відкрити, у якому порядку, коли повернутися до видачі, відкрити нову вкладку чи продовжити перегляд поточного сайту. З погляду систем веб-аналітики така активність виглядає як органічний людський трафік.
Ризики для бізнесу та практичні заходи захисту
Наразі ChimeraWire використовується насамперед як інструмент клікфроду та SEO-фроду — для накрутки позицій сайтів і показників залученості. Однак його архітектура дозволяє реалізувати й інші сценарії: масове заповнення веб-форм, штучне збільшення метрик на платформах (лайки, перегляди, кліки по рекламі), а також збір даних зі сторінок, включно з контактною інформацією.
Організаціям варто посилити контроль цілісності системних бібліотек (особливо DLL у системних каталогах), впровадити моніторинг аномальної активності PowerShell, Планувальника завдань та інтерпретаторів (Python, вбудовані консолі), обмежити запуск неперевірених виконуваних файлів і регулярно оновлювати Windows та COM-компоненти для зниження ризику експлуатації DLL Search Order Hijacking і CMSTPLUA.
Додатковий рівень захисту забезпечать сучасні EDR/XDR-рішення та мережевий моніторинг, здатні виявляти нетипові завантаження браузерів, розширень і підозрілі WebSocket-з’єднання. В умовах зростання збитків від рекламного шахрайства бізнесу доцільно переглянути моделі загроз і включити до них сценарії, де робочі станції використовуються як платформа для прихованої накрутки трафіку. Регулярний аудит безпеки, навчання співробітників і проактивний моніторинг дозволять зменшити ймовірність того, що ваша інфраструктура стане частиною подібних бот-мереж.
