Фишинг под PDF, DLL side-loading и бэкдор в Chrome

В июне 2026 года была выявлена вредоносная кампания, нацеленная на итальянских пользователей и построенная на фишинговых письмах, замаскированных под счета-фактуры. Злоумышленники использовали тему “Fattura #2819889242” и прикладывали файл, который на первый взгляд выглядел как PDF-документ. На деле же жертвы загружали обфусцированный Windows JavaScript-файл с именем Fattura-2819889242.pfd.js, где необычное расширение было, вероятно, намеренно выбрано для имитации PDF.

Как работала цепочка заражения

После запуска через Windows Script Host JavaScript-файл декодировал полезную нагрузку и создавал в временной директории пользователя два ключевых файла:

• client_124578.exe — легитимный исполняемый файл Epic Games;
• d3d11.dll — вредоносную библиотеку.

Такой прием соответствует технике DLL side-loading: доверенный исполняемый файл загружает подмененную библиотеку из-за особенностей механизма разрешения зависимостей в Windows. В результате вредоносный код получает выполнение под видом легитимного процесса.

Далее d3d11.dll запускала скрытый процесс PowerShell, который подготавливал вредоносное расширение для Google Chrome и изменял настройки политик браузера, чтобы упростить его установку.

Манипуляции с политиками Chrome

Вредоносное ПО использовало ключи политик Chrome, в частности ExtensionInstallAllowlist и ExtensionInstallSources. Это делало установку расширения похожей на действие, санкционированное администраторами.

Хотя расширение работало в рамках разрешений браузера и не могло напрямую запускать команды вроде powershell.exe, злоумышленники применили Native Messaging как способ обойти эти ограничения.

Native Messaging — легитимная функция, которая позволяет приложениям взаимодействовать с расширениями браузера и создавать мост для выполнения команд вне песочницы браузера.

Именно этот механизм позволил расширению передавать команды локальному хосту, который затем выполнял PowerShell-действия уже за пределами браузерной среды.

Признаки бэкдора и удаленного управления

Исследователи обнаружили признаки того, что расширение и хост Native Messaging образовывали бэкдор для удаленного управления. Среди зафиксированных действий:

• вывод содержимого каталогов;
• передача результатов злоумышленникам через POST-запросы.

Таким образом, атака использовала не только вредоносный код, но и целый набор легитимных технологий: подписанные приложения, корпоративные расширения Chrome и Native Messaging. Именно эта комбинация делает подобные кампании особенно опасными при несанкционированном использовании.

Что рекомендуют специалисты

Для обнаружения подобных атак эксперты советуют отслеживать аномальные изменения в корпоративных политиках Chrome и сопоставлять их с процессами установки расширений и скрытыми запусками PowerShell.

Расследование должно в первую очередь сосредоточиться на записях, ведущих к подключениям к localhost, поскольку именно они могут указывать на злоупотребление механизмом Native Messaging.

При реагировании на инцидент необходимо:

• удалить вредоносное расширение;
• устранить его регистрацию в Native Messaging;
• проанализировать активность PowerShell;
• защитить затронутые сессии браузера и учетные данные.

Как подчеркивают специалисты, такой многослойный подход позволяет нейтрализовать не только уязвимости браузера, но и риски, связанные с компрометацией базовой системы.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.