CastleRAT: Deno-исполнение, ClickFix и скрытая загрузка в памяти

Новая кампания вредоносного ПО CastleRAT демонстрирует качественный скачок в тактиках атак: злоумышленники используют легитимные компоненты и исполнение в памяти, чтобы обходить традиционные средства защиты и оставаться незамеченными. В основе — сочетание социальной инженерии, запуска кода через Deno и сложной цепочки загрузчиков, которые обеспечивают выполнение полезной нагрузки полностью в памяти.

Как происходит заражение

Атака начинается с хорошо продуманной социальной инженерии. Жертву перенаправляют на скомпрометированную веб-страницу, где отображаются вводящие в заблуждение сообщения об ошибках или подсказки CAPTCHA. Это вынуждает пользователя вручную выполнить команду загрузки — приём, известный как «ClickFix». Такой подход позволяет обойти веб‑фильтры и заставляет пользователя добровольно инициировать загрузку установщика.

«ClickFix позволяет злоумышленникам обходить веб‑фильтры безопасности, заставляя пользователей вручную инициировать загрузку вредоносного установщика».

Технологии и этапы выполнения вредоносной цепочки

• Deno: используется как легитимный рантайм с действительной цифровой подписью, под видом доверенного процесса выполняющий обфусцированный JavaScript.
• Первоначальный скрипт загружает переносимую среду Python и казалось бы безвредный JPEG, который на самом деле содержит зашифрованный полезный груз.
• Зашифрованный payload декодируется в памяти с помощью сильно обфусцированного скрипта Python, защищённого PyArmor.
• Применяется техника reflective PE loading: вредоносный PE загружается и выполняется в памяти, не оставляя файлов на диске.

Функциональные возможности CastleRAT

После выполнения в памяти CastleRAT предоставляет широкий набор возможностей для разведки, кражи данных и постоянного контроля за компрометированной системой:

• Сбор телеметрии и отпечатка хоста: имя компьютера, имя пользователя, GUID машины, публичный IP.
• Установление связи с сервером командования и управления (C2) и обмен контрольными сообщениями.
• Кейлоггер: перехват всех нажатий клавиш и сохранение логов в скрытых файлах.
• Кража учетных данных и цифровых идентификаторов: куки, токены сессий (включая Telegram и Discord), SSH‑ключи.
• Перехват буфера обмена и имитация действий вставки для извлечения конфиденциальной информации (включая криптовалюта‑фраз и ключи).
• Аудио‑ и видеонаблюдение: скрытая активация веб‑камер и микрофонов.
• Обеспечение стойкости: регистрация Запланированной Задачи через PowerShell, перенаправляющей выполнение к обфусцированному Python‑загрузчику.

Почему традиционные средства защиты оказываются бессильны

Ключевая опасность этой кампании — отсутствие традиционных двоичных артефактов на диске и использование доверенных рантаймов. Антивирусные движки, ориентированные преимущественно на анализ файлов, часто пропускают такие угрозы, поскольку вредоносный код выполняется в памяти под видом подписанного процесса (Deno) и обфусцирован Python‑скрипт защищён PyArmor.

Отсюда очевидный вывод: детекция на основе сигнатур и статического анализа файла недостаточна — требуется мониторинг поведения конечных точек и сетевой активности.

Признаки компрометации (IOC и поведенческие индикаторы)

• Необычное или неожиданное выполнение процесса Deno на машинах, где он не используется в производственной среде.
• Запланированные задачи, созданные через PowerShell, указывающие на запуск обфусцированных скриптов.
• Аномальные сетевые соединения к неизвестным или подозрительным C2‑адресам.
• Необычная активность буфера обмена, частые операции вставки без участия пользователя.
• Записи кейлоггера или скрытые файлы с логами на пользовательских профилях.
• Необъяснимая активация веб‑камеры или микрофона.

Рекомендации по защите и обнаружению

Для снижения риска и обнаружения подобных кампаний рекомендуется комплексный подход:

• Внедрить поведенческий мониторинг конечных точек: EDR/NGAV, способные анализировать исполнение в памяти и аномалии процессов.
• Мониторинг и блокировка рантаймов: ограничить использование Deno и иных интерпретаторов, применять политики Application Control (whitelisting).
• Контроль Запланированных Задач и PowerShell: логирование и ограничение выполнения PowerShell‑скриптов, контроль создаваемых задач.
• Сетевая защита: мониторинг исходящих соединений, блокировка известных C2, использование IDS/IPS и сетевой сегментации.
• Защита конфиденциальных данных: хранение SSH‑ключей и секретов в безопасных хранилищах; включение MFA для критичных систем и приложений.
• Обучение пользователей: тренинги по распознаванию фишинга и похищения через социальную инженерию (включая схемы типа «ClickFix»).
• Использовать advanced monitoring solutions для выявления аномалий в поведении конечных точек и разрыва соединений с C2 до эксфильтрации данных.

Вывод

Кампания CastleRAT иллюстрирует современную тенденцию: злоумышленники перемещают акцент с файловой доставки на исполнение в памяти и использование доверенных компонентов. Это делает приоритетом для организаций не только обновление сигнатурных средств, но и развёртывание поведенческих и сетевых механизмов обнаружения. Только комплексный подход — ограничение рантаймов, мониторинг процессов и сетевой трафик, а также повышение осведомлённости пользователей — позволит эффективно противостоять подобным угрозам.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.