Хакеры научились прятать вредоносное ПО за рекламной инфраструктурой Google, чтобы обходить корпоративную защиту

Специалисты Huntress зафиксировали вредоносную кампанию, в которой атакующие задействовали легитимную рекламную сеть Google как первое звено цепочки заражения. Перенаправления шли через домен ad.doubleclick.net, что позволяло обойти корпоративные шлюзы и фильтры, доверяющие трафику с рекламных серверов Google. Угроза затрагивает и российских пользователей, работающих с зарубежными сервисами, поскольку схема рассчитана на универсальную доставку через электронную почту.

Расчёт строился на доверии защитных систем к рекламным доменам Google, к которым ежедневно обращаются миллионы сайтов и платформ по всему миру. Почтовые шлюзы, веб-фильтры и корпоративные песочницы крайне редко относят такой трафик к подозрительному, поэтому первая стадия атаки фактически проходила мимо радаров. В российских компаниях, где сотрудники регулярно получают почту от зарубежных контрагентов, подобная маскировка работает не хуже, чем в западном сегменте.

Атака стартовала с писем, к которым прикреплялись внешне пустые вложения без видимого вредоносного содержимого. Внутри файла прятался механизм скрытого перенаправления, который при открытии незаметно отправлял жертву на инфраструктуру, подконтрольную преступной группе. Дальше всё работало уже динамически и подстраивалось под получателя.

Интересно, что система анализировала адрес электронной почты жертвы и на лету перестраивала содержимое мошеннических страниц под конкретного человека.

Персонализация дополнялась геолокацией и часовым поясом, благодаря чему фальшивые страницы выглядели правдоподобно именно для жителя нужного региона — будь то Европа, США или пользователь из России. Логотипы компаний подгружались из открытых источников автоматически, и страница приобретала вид настоящего корпоративного портала. На этом этапе срабатывала классическая социальная инженерия, рассчитанная на привычку доверять знакомому фирменному стилю.

Дальнейшая цепочка запускалась после загрузки архива, предложенного жертве. В работе участвовали следующие компоненты:

• JScript-сценарии, отвечающие за первичную инициализацию;
• скрипты PowerShell, выполняющие основную полезную нагрузку;
• модули .NET для расширения функциональности;
• механизмы рефлексивной загрузки кода в память;
• вспомогательные обфускаторы для маскировки сигнатур.

Большая часть операций проходила прямо в оперативной памяти, без сохранения файлов на диск. Для рядового антивируса, установленного у российского пользователя или сотрудника небольшой компании, такая активность практически невидима.

Кампания состояла минимум из пяти этапов, каждый из которых подгружал следующий компонент и постепенно расширял контроль над машиной. Перед запуском вредонос проверял окружение на признаки анализа, и при обнаружении подозрительных условий выполнение прерывалось. Список проверок выглядел так:

• наличие отладчиков и средств реверс-инжиниринга;
• запуск внутри виртуальных машин и тестовых стендов;
• работа песочниц популярных вендоров;
• присутствие утилит цифровой криминалистики;
• следы исследовательских инструментов.

В некоторых случаях программа принудительно перезагружала компьютер, не показывая никаких сообщений. Обнаружить, что произошло, без углублённого расследования практически невозможно.

Стоит обратить внимание на то, что вредонос целенаправленно вмешивался в работу AMSI и ETW — двух механизмов Windows, на которые опираются практически все современные EDR-системы.

После отключения телеметрии операционная система перестаёт передавать защитному ПО полную картину происходящего. Атакующие также применяли подход Living off the Land, внедряя код в подписанные Microsoft утилиты InstallUtil.exe и MSBuild.exe. Эти процессы изначально считаются доверенными, и большинство корпоративных решений не реагируют на их активность — в том числе на машинах в российских организациях, где политики безопасности часто настроены менее строго.

Управляющая инфраструктура держалась на динамических DNS-сервисах и нестандартных портах, что позволяло быстро переключать адреса серверов и затруднять блокировку. С каждого заражённого устройства собиралась подробная техническая информация:

• идентификаторы процессоров и материнских плат;
• сведения об установленном антивирусе;
• данные о видеокартах Nvidia и AMD;
• параметры операционной системы;
• сетевые настройки и идентификаторы домена.

По этим данным операторы оценивали ценность машины — рабочая станция рядового сотрудника или сервер с доступом к корпоративным ресурсам. Для российских компаний с разветвлённой ИТ-инфраструктурой это означает реальный риск точечного отбора целей внутри сети. Механизмы сохранения доступа срабатывали даже после перезагрузки и завершения процессов, восстанавливая активность автоматически.

Конечную цель операции исследователи Huntress определить однозначно не смогли, но архитектура указывает на подготовку к длительному присутствию в инфраструктуре жертв и последующим удалённым вторжениям. Использование доверенной рекламной сети Google демонстрирует, насколько глубоко преступники изучили слепые зоны защитных решений и насколько уязвимы оказываются даже хорошо охраняемые периметры — российские пользователи здесь не исключение, а часть глобальной мишени.

Ранее мы писали о том, что Alphabet намерена привлечь 80 млрд долларов для расширения инфраструктуры искусственного интеллекта. Одним из крупнейших участников финансирования, по имеющимся данным, станет Berkshire Hathaway Уоррена Баффета, которая планирует вложить около 10 млрд долларов. Материнская компания Google наращивает инвестиции в вычислительные мощности на фоне стремительного роста спроса на ИИ-сервисы. Аналитики отмечают, что конкуренция на рынке искусственного интеллекта всё сильнее зависит не только от качества моделей, но и от масштабов дата-центров, доступности оборудования и энергетических ресурсов.

Эксперты редакции CISOCLUB полагают, что описанная кампания знаменует переход атакующих к новой модели маскировки, при которой основным щитом становится репутация самих защитных вендоров и крупных платформ. Доверие к доменам Google превратилось в инструмент атаки, и пересматривать политики фильтрации придётся даже тем командам, которые годами считали такой трафик безопасным по умолчанию.

Российским организациям стоит обратить особое внимание на поведенческий анализ почтовых вложений и контроль за активностью InstallUtil.exe и MSBuild.exe на конечных точках. Отключение AMSI и ETW должно расцениваться как немедленный инцидент с приоритетом расследования. По оценкам редакции, подобные многоступенчатые операции в ближайший год станут массовым явлением, и компании, полагающиеся только на сигнатурные средства защиты, окажутся в проигрышной позиции.