СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
21 марта
#ИБ

Google Forms используют для распространения RAT PureHVNC

Недавние расследования выявили необычную кампанию по распространению вредоносного ПО, в которой злоумышленники используют Google Forms не как инструмент опросов, а как точку входа для атаки. В отличие от классического phishing, основанного на электронных письмах или поддельных страницах загрузки, эта схема опирается на business lures — приманки, связанные с собеседованиями при приеме на работу, финансовыми документами и другими доверительными сценариями.

Жертвы переходят по ссылкам на формы, после чего им предлагается загрузить ZIP-файлы. Именно в них скрывается многоэтапная цепочка заражения, приводящая к установке PureHVNC — модульного RAT из семейства Pure.

Как работает схема заражения

По данным расследования, кампания выстроена так, чтобы вызвать у пользователя доверие. Для этого злоумышленники:

  • имитируют авторитетные компании из сфер finance, technology и energy;
  • распространяют ссылки на вредоносные Google Forms через платформы вроде LinkedIn;
  • маскируют вредоносные файлы под документы, связанные с работой или финансами;
  • используют архивы ZIP, содержащие как визуально легитимные файлы, так и malicious executables.

Такой подход снижает настороженность пользователей: форма выглядит привычно, документ — правдоподобно, а загрузка файла воспринимается как часть обычного делового процесса.

PureHVNC: что умеет вредоносный payload

PureHVNC предоставляет злоумышленникам полный remote control над зараженной системой. Это делает его особенно опасным инструментом для кражи данных и последующего закрепления в инфраструктуре жертвы.

Среди возможностей malware:

  • выполнение удаленных команд;
  • сбор подробной информации об OS и hardware;
  • извлечение конфиденциальных данных из браузеров и приложений;
  • кража данных из crypto wallets;
  • закрепление в системе, в том числе через создание scheduled tasks.

Особую тревогу вызывает то, что PureHVNC способен не только управлять системой, но и проводить глубокую разведку. Для этого он использует WMI-запросы и перечисление данных, включая сведения из браузеров и расширений.

Технические особенности атаки

Одним из распространенных приемов в этой кампании является использование DLL-файла с именем msimg32.dll. В подобных сценариях применяется DLL hijacking: легитимная программа запускается так, чтобы выполнить вредоносный код вместо ожидаемой библиотеки.

Анализ также показал, что кампания существует в нескольких вариантах. Злоумышленники используют разные механизмы извлечения файлов и различные конфигурации, но логика атаки остается общей.

Внутри ZIP-архивов исследователи обнаружили:

  • вредоносную DLL;
  • файлы Python, размещенные в случайной папке внутри каталога ProgramData;
  • запутанный скрипт Python под именем config.log;
  • payload, декодирующий и выполняющий shellcode с помощью Donut.

Завершающий этап заражения заключается в инъекции PureHVNC в системные процессы, включая SearchUI.exe. При этом конкретный процесс может меняться в зависимости от образца.

Почему кампания опасна

Главная особенность этой операции — удачное сочетание социальной инженерии и технической маскировки. Использование Google Forms и Dropbox, а также impersonation известных компаний, помогает обходить пользовательскую бдительность и повышает вероятность успешного заражения.

В результате вредоносная цепочка запускается через платформы, которые многие воспринимают как надежные. Именно это делает кампанию особенно опасной: доверие к сервису переносится на контент, который внутри него размещен.

Что важно помнить пользователям и организациям

Эксперты подчеркивают: решающее значение имеет внимательность при работе с неожиданными ссылками и документами. Особенно осторожными следует быть, если:

  • ссылка ведет на Google Forms с необычным запросом на загрузку файла;
  • предложение связано с собеседованием, финансовыми материалами или срочным деловым запросом;
  • архив ZIP содержит исполняемые файлы, скрипты или нестандартные библиотеки;
  • отправитель выдает себя за известную компанию, но сообщение выглядит нехарактерно.

В условиях, когда threat actors все чаще используют доверенные платформы и правдоподобные сценарии, базовая кибергигиена остается одним из немногих эффективных барьеров. Бдительность пользователей и проверка любых подозрительных вложений или ссылок становятся критически важными для предотвращения заражения.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: