Браузерные угонщики: BRAT, TamperedChef/BaoLoader, VBS, PowerShell и реестр

Недавний анализ различных браузерных угонщиков выявил широкий спектр методов манипуляции браузером, применяемых злоумышленниками, в том числе группами, связанными с кампаниями TamperedChef/BaoLoader. Исследование показывает, что атакующие всё чаще фокусируются не на полном контроле над системой, а на целенаправленном компрометировании браузера — что создаёт новые вызовы для средств защиты и обнаружения.

Ключевые находки

  • Появление средства удалённого доступа к браузеру — BRAT, которое исполняет команды, поступающие с сервера, и ориентировано исключительно на управление браузером.
  • Использование скриптов VBS и PowerShell, настроенных как запланированные задачи, для поддержания стойкости и скрытности присутствия.
  • Маскировка вредоносных компонентов под безобидные файлы — пример: файл с вводящим в заблуждение названием temp_cleanup.ico, замаскированный под файл реестра.
  • Трюки с реестром: запись безобидного содержания с большим количеством пустых строк, за которой следуют специально подготовленные ключи, облегчающие несанкционированные манипуляции.
  • Использование аргументов Chromium для запуска вредоносных расширений и потенциальное применение этих приёмов в популярных web-фреймворках.

BRAT: браузер как цель атаки

В отличие от классических троянов удалённого доступа (RAT), которые нацелены на полный контроль над системой, BRAT ограничивает свою деятельность браузером. Это позволяет злоумышленникам выполнять специализированные операции — от слива сессий и cookie до установки вредоносных расширений и перехвата трафика — без явного захвата всей ОС, что затрудняет обнаружение традиционными средствами защиты.

Скрипты, запланированные задачи и маскировка

Исследователи зафиксировали использование VBS и PowerShell-скриптов, запускаемых как запланированные задачи. Один из методов маскировки — файл temp_cleanup.ico, зарегистрированный как элемент реестра. В отчёте отмечается практическое применение «пустых» строк в реестре, вероятно, с целью затруднить проверку и автоматический анализ. После таких техник следуют две специальные записи в реестре, облегчающие дальнейшие несанкционированные изменения.

Аргументы Chromium и расширения

Использование аргументов Chromium для принудительного запуска вредоносных расширений демонстрирует ещё один вектор повышения опасности. Такие приёмы открывают путь для внедрения вредоносного кода в рабочие процессы веб-приложений и популярных web-фреймворков, что может привести к масштабным утечкам данных и компрометации пользователей.

«Методы злоумышленников становятся всё более сложными и вариативными: атаковать теперь выгоднее не всю систему, а только браузер, где сосредоточены сессии и учетные данные», — отмечает исследование.

Последствия и рекомендации

Выводы подчёркивают необходимость усиления мониторинга и внедрения специализированных механизмов обнаружения для защиты браузерной экосистемы. Рекомендуемые меры включают:

  • Мониторинг запланированных задач и необычных скриптов (VBS, PowerShell).
  • Анализ подозрительных записей в реестре и проверка на наличие «маскирующих» структур (большое количество пустых строк и неочевидные ключи).
  • Контроль политики установки расширений и проверка команд запуска Chromium.
  • Использование современных EDR/Endpoint-решений и средств обнаружения аномалий, ориентированных на браузерную активность.
  • Повышение осведомлённости пользователей о рисках установки расширений и запуске незнакомых файлов.

Атаки, подобные описанным в отчёте, подчеркивают: защита должна быть многослойной и учитывать специфические угрозы для браузеров. Только сочетание технических мер, политики безопасности и пользовательской бдительности позволит снизить риск успешной компрометации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: