GoodPersonRAT маскируется под LetsVPN и крадет данные
GoodPersonRAT: скрытая угроза под маской LetsVPN
Специалисты ThreatLocker Threat Intelligence выявили новую вредоносную кампанию, нацеленную на пользователей популярного VPN-сервиса. GoodPersonRAT — это RAT (Remote Access Trojan, троян удаленного доступа), искусно встроенный в поддельный установщик Kuailian VPN (также известного как LetsVPN). Данный зловред предоставляет операторам полный контроль над скомпрометированной системой и пользовательскими данными, оставаясь при этом практически незаметным для традиционных средств защиты.
Многоступенчатый механизм заражения
Инфекционная цепочка запускается после выполнения легитимного на первый взгляд установщика LetsVPNLatest.exe. Он действительно инсталлирует VPN-приложение, однако параллельно активирует цепочку вредоносных payloads. Сразу за ним активизируется второй компонент — promecefplugilte8.exe, выполняющий роль загрузчика shellcode. Его задача — извлечь третий файл, 20260609.dat, который и отвечает за ключевую C2-активность.
На этом этапе shellcode расшифровывает встроенный бинарный объект и осуществляет рефлексивную загрузку DLL прямо в память. Поскольку ни один вредоносный модуль не записывается на диск, классические антивирусные сигнатуры оказываются бессильны.
Умная C2-коммуникация и идентификация жертвы
GoodPersonRAT применяет изощрённый алгоритм выбора управляющего сервера. В коде предусмотрено 40 предопределённых адресов C2. Приоритетный сервер определяется на основе содержимого файла install_state.ini, где в открытом виде хранится параметр InstanceId. Если этот файл существует, он имеет безусловный приоритет перед резервными механизмами, опирающимися на имя исполняемого файла.
Связь с C2 поддерживается постоянно через открытый TCP-сокет, ожидающий команды. Заражённая машина идентифицируется уникальным клиентским ключом из файла ClientID.sys, что гарантирует непрерывность управления вне зависимости от перезагрузок и смены сетевого окружения.
Арсенал возможностей
Функционал GoodPersonRAT выходит далеко за рамки стандартных троянов удалённого доступа. Среди ключевых возможностей:
- передача файлов как для загрузки дополнительных модулей, так и для эксфильтрации конфиденциальных данных;
- интерактивное выполнение команд на хосте жертвы;
- настройка прокси-серверов SOCKS5 и HTTP для маршрутизации трафика злоумышленников;
- регистрация нажатий клавиш (keylogging) через выделенный процесс и захват содержимого буфера обмена с сохранением в скрытый текстовый файл;
- целенаправленная атака на Telegram Desktop: зловред модифицирует настройки прокси и патчит исполняемый файл приложения, чтобы получить прямой доступ к учётным записям и сессионным данным, маскируя несанкционированные изменения.
Методичный обход EDR и защитных механизмов
Для нейтрализации средств обнаружения и реагирования на конечных точках (EDR) GoodPersonRAT использует продуманную технику профилирования. Вредонос собирает информацию об установленных в системе решениях безопасности и передаёт её на C2-сервер. Затем он целенаправленно изменяет настройки Microsoft Defender: добавляет исключения из сканирования и отключает отдельные защитные функции. Такой подход позволяет зловреду сохранять полную скрытность на протяжении всей операции, избегая анализа и блокировки.
GoodPersonRAT — это прямая угроза для пользователей LetsVPN. Эксплуатируя доверие к легальному сервису, вредонос эффективно проникает в системы, а многослойные техники уклонения, закрепления и использования ресурсов делают его одним из самых опасных образцов в своём классе.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



