ChimeraWire: многофазный троянец с функцией кликера и техниками уклонения
ChimeraWire — это многофункциональное вредоносное ПО для Windows, обнаруженное специалистами «Доктор Веб». По мнению исследователей, эта вредоносная платформа сочетает в себе загрузчики, техники уклонения и механизм автоматического клика, что делает её опасной как для частных пользователей, так и для корпоративных инфраструктур.
Механизм заражения — многоэтапный процесс
Заражение начинается с последовательности загрузчиков и проверок окружения. Ключевые этапы:
- Первичный загрузчик: Trojan.DownLoader48.54600 проверяет, выполняется ли код в виртуальной среде, и завершает работу при обнаружении эмуляции.
- Загрузка компонентов: при подтверждении «реальной» среды загрузчик получает ZIP-архив, содержащий вредоносный Python-скрипт и сопутствующие файлы, в том числе
ISCSIEXE.dll, необходимые для дальнейшей работы. - Эскалация привилегий: Trojan.DownLoader48.61444 запрашивает права администратора и использует технику маскарадинга PEB, чтобы замаскироваться под легитимный процесс
explorer.exeи затруднить обнаружение. - Финальная полезная нагрузка: основная компонента — ChimeraWire — загружает дополнительный ZIP-архив со стороннего источника, в том числе версию Google Chrome и потенциальные конфигурации для других ОС.
Поведение и функциональность кликера
Ключевая опасность ChimeraWire заключается в имитации действий реального пользователя для управления веб-сайтами. Основные аспекты поведения:
- Поиск по заданным доменам и ключевым словам.
- Открытие найденных ссылок и анализ страниц для выявления гиперссылок.
- Перетасовка порядка кликов для имитации человеческого поведения и обхода антибот‑защиты.
Такая логика делает троянца пригодным для автоматического мошенничества с кликами (click fraud) и злоупотребления веб‑ресурсами рекламных и аналитических систем.
«ChimeraWire демонстрирует высокий уровень сложности: злоумышленники эффективно используют запутывание и кодирование для предотвращения обнаружения», — отмечают исследователи «Доктор Веб».
Методы уклонения и закрепления
ChimeraWire соответствует ряду техник, описанных в MITRE ATT&CK, включая:
- User Execution — выполнение с участием пользователя (инициация через загрузчики и взаимодействия);
- Privilege Escalation — повышение привилегий для получения административного доступа;
- Defense Evasion — уклонение от механизмов обнаружения (masquerading, обфускация, кодирование).
Для обеспечения стойкости к компромиссу используются механизмы закрепления: манипуляции автозапуском, создание запланированных задач и другие способы сохранения присутствия в системе после начальной инфекции.
Риски и практические рекомендации
Последствия внедрения ChimeraWire включают потерю ресурсов, манипуляции трафиком и финансовые убытки из‑за click fraud. Рекомендации по снижению риска:
- Ограничить права пользователей: исключить постоянный доступ к административным привилегиям.
- Внедрить application whitelisting и контроль запуска исполняемых файлов.
- Использовать современные EDR/NGAV‑решения с возможностью поведенческого анализа и детекции маскарадинга процессов (например, подозрительных имплантов в контексте
explorer.exe). - Мониторить и блокировать подозрительные исходящие соединения к сторонним источникам и загрузчикам.
- Проверять и контролировать запланированные задачи и ключи автозапуска в системе.
- Развернуть сетевые контроли, фильтрацию URL и проверку целостности установщиков браузеров и других компонентов.
- Повышать осведомлённость пользователей о фишинговых и инсталляционных сценариях, требующих подтверждения действий.
Заключение
ChimeraWire является примером эволюции вредоносного ПО: сочетание многоступенчатых загрузчиков, техник уклонения и кликер‑функционала делает его угрозой с высокой степенью риска. Открытие этой кампании исследователями «Доктор Веб» подчёркивает необходимость постоянной бдительности и внедрения комплексных мер защиты на уровне конечных точек и сети.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
