BackgroundFix: фальшивый фоторедактор разносит CastleLoader и CastleStealer

BackgroundFix: новая вредоносная кампания маскирует распространение ВПО под сервис для удаления фона с изображений и использует поддельные сайты с реалистичным интерфейсом, чтобы обманом заставить пользователей запустить заражённый файл.

Анализ Validin показал, что за кампанией стоят восемь связанных доменов, объединённых единым сценарием социальной инженерии. На первом этапе жертву перенаправляют на мошеннические ресурсы, которые визуально имитируют легитимный онлайн-инструмент для редактирования изображений, хотя на деле не предоставляют никаких реальных функций.

CastleLoader как центр заражения

В основе кампании лежит CastleLoader — загрузчик, который выступает посредником для доставки и развёртывания основной вредоносной нагрузки. После запуска он устанавливает сразу две ключевые угрозы:

• NetSupport RAT — инструмент для удалённого управления системой жертвы;
• CastleStealer — .NET-стиллер учётных данных, предназначенный для кражи конфиденциальной информации.

По данным отчёта, CastleStealer собирает сохранённые учётные данные браузеров, данные криптокошельков и файлы, связанные с сессиями Telegram.

Технические приёмы и скрытность

Технический анализ показывает, что злоумышленники используют несколько способов запуска полезной нагрузки и обхода обнаружения. В частности, параметр launch_method: 4 пытается вызвать regsvr32.exe, но ошибочно указывает regsrv32.exe, что приводит к сбоям выполнения.

Несмотря на подобные ошибки, вредоносное ПО демонстрирует гибкий набор методов исполнения. Среди них:

• запуск через скрипты PowerShell;
• прямое выполнение команд через cmd.exe;
• инъекция кода в работающие процессы посредством process hollowing;
• использование компонентов Windows старых поколений, включая finger.exe, для связи с сервером управления.

Такая вариативность помогает маскировать активность от механизмов обнаружения, ориентированных на типовые шаблоны выполнения вредоносного кода.

Как работает CastleStealer

CastleStealer выстроен вокруг многоэтапного извлечения данных. Он нацелен на различные браузеры и приложения, извлекая сохранённые пароли, токены сессий и другую чувствительную информацию.

Отдельный акцент делается на криптокошельки: стиллер собирает данные из баз IndexedDB, где такая информация нередко хранится в браузерных средах.

Для доступа к файлам, которые обычно блокируются активными приложениями, используется Restart Manager. Это позволяет извлекать данные без заметных сбоев для пользователя и снижает вероятность раннего обнаружения заражения.

Коммуникация с инфраструктурой управления

CastleLoader тщательно формирует запросы и ответы при взаимодействии с управляющей инфраструктурой. Сообщения согласуются с ожидаемыми форматами, а передача трафика дополнительно защищается встроенным шифрованием на основе ChaCha20.

Такой уровень координации показывает, что кампания сочетает традиционное развёртывание ВПО с современными механизмами скрытности и защиты канала связи.

Почему эта кампания опасна

Связка CastleLoader и CastleStealer создаёт особенно опасный вектор атаки. Один компонент обеспечивает удалённый доступ злоумышленнику, другой — автоматизированный сбор учётных данных и конфиденциальных файлов. В результате возможно длительное и масштабное компрометирование как отдельных пользователей, так и организаций.

BackgroundFix отражает текущую эволюцию вредоносных операций: злоумышленники всё чаще комбинируют социальную инженерию, многоступенчатую доставку ВПО и технические методы уклонения, чтобы повысить устойчивость кампаний и затруднить их обнаружение.