Хакеры прячут инфостилер в блогах Google и запускают его прямо в памяти компьютера

изображение: grok
Исследователи Securonix Threat Research зафиксировали новую вредоносную кампанию Veil#Drop, где для доставки инфостилера PureLog Stealer используется платформа Google Blogspot. Практически вся цепочка заражения разворачивается в оперативной памяти, минуя запись на жёсткий диск, что резко снижает шансы обнаружения атаки классическими средствами защиты.
Злоумышленники соединили в одной атаке взломанные сайты, зашифрованный JavaScript, сценарии PowerShell и страницы Blogspot, превратив легитимный сервис Google в промежуточное звено доставки полезной нагрузки. Сам PureLog Stealer давно знаком аналитикам — это .NET-инфостилер с типовым набором функций. Интерес представляет не он сам, а способ, которым его подтягивают на машину жертвы.
Заражение стартует с посещения ранее скомпрометированного сайта, откуда пользователь скачивает файл, визуально похожий на PDF-документ. Помогает злоумышленникам стандартная настройка Windows, которая по умолчанию прячет расширения зарегистрированных типов. Под видом безобидного документа фактически запускается сценарий Windows Script Host, который дёргает PowerShell и по ходу отключает часть встроенных проверок безопасности.
Интересно, что PowerShell в этой схеме вообще ничего не сохраняет на диск — он напрямую обращается к подконтрольным атакующим страницам Blogspot, забирает оттуда данные и сразу же гонит их на исполнение в оперативной памяти.
Расчёт злоумышленников понятен. Трафик к сервисам Google выглядит настолько привычно, что репутационные фильтры на него практически не реагируют. Подозрительные обращения растворяются в общем потоке запросов к blogspot.com, а защитные решения, ориентированные на чёрные списки доменов, обращения к Google в подавляющем большинстве случаев пропускают без вопросов.
Дальше цепочка становится ещё более незаметной. Передаваемые компоненты замаскированы пользовательской схемой XOR-кодирования и расшифровываются только в момент запуска, уже находясь в оперативной памяти. Финальный загрузчик восстанавливает из полученных данных две .NET-сборки и подгружает их через механизм рефлексии — то есть исполняемые файлы вообще не появляются на диске, а классическому антивирусу попросту нечего проверять.
Разработчики Veil#Drop заложили и запасной маршрут выполнения. Если основная цепочка блокируется, вредонос перебирает подписанные Microsoft системные утилиты категории LOLBIN. Задействованы следующие компоненты:
- RegSvcs — служебный инструмент регистрации сборок .NET, применяемый для скрытого запуска кода;
- InstallUtil — утилита установки .NET-компонентов, часто попадающая в белые списки корпоративных политик;
- MSBuild — платформа сборки проектов, позволяющая исполнять произвольный код прямо из XML-файла;
- цепочка переключений между этими инструментами, если один из них оказался недоступен.
Поскольку перечисленные бинарники входят в штатный состав .NET и подписаны Microsoft, их запуск редко провоцирует реакцию систем контроля приложений. Отсюда и устойчивая популярность LOLBIN-техник у разработчиков современного вредоносного ПО — атака буквально едет на легитимных рельсах самой операционной системы.
Получив управление, PureLog Stealer принимается собирать всё, что представляет коммерческий интерес. В сферу его внимания попадают:
- сохранённые пароли из браузеров Chromium- и Gecko-семейств;
- файлы cookie активных пользовательских сессий;
- данные автозаполнения форм, платёжные реквизиты и адреса;
- содержимое криптовалютных кошельков и связанных расширений браузера;
- сведения о железе и программной среде заражённой машины.
Стоит обратить внимание, что кража сессионных cookie превращает многофакторную аутентификацию в чистую формальность — преступник просто подставляет чужую активную сессию и заходит в аккаунт, не проходя ни ввод пароля, ни подтверждение через второй фактор.
По наблюдениям Securonix, похищенные учётные данные далеко не всегда используют сами организаторы атаки. Значительная часть добычи уходит на подпольные торговые площадки, где её оптом скупают другие группы — от операторов шифровальщиков до тех, кто специализируется на компрометации корпоративных облаков и SaaS-сервисов. Один инфостилер, работающий на массового пользователя, фактически кормит целую цепочку последующих взломов.
Для команд мониторинга Veil#Drop меняет саму логику поиска угроз. Индикаторов компрометации в привычном смысле здесь минимум — файлы на диск не пишутся, хеши считать не с чего. Полезнее смотреть на поведение процессов и связи между ними. Настораживать должны следующие сочетания:
- обращения PowerShell к blogspot.com и другим ресурсам Google, не характерные для рабочих станций;
- запуск RegSvcs, InstallUtil или MSBuild из пользовательских каталогов и профилей;
- цепочки wscript.exe → powershell.exe с параметрами обхода политик выполнения;
- сетевая активность .NET-утилит, у которых легитимной причины ходить в интернет попросту нет.
Исследователи Securonix резюмировали, что бесфайловые атаки давно вышли за пределы редких целевых операций и превратились в массовый инструмент рядовых киберпреступников. Пока значительная часть корпоративной защиты остаётся заточена под поиск подозрительных файлов, атакующие спокойно переносят всю логику в память и используют для доставки нагрузки доверенные площадки — от GitHub до Google Blogspot.
Эксперты редакции CISOCLUB убеждены, что кейс Veil#Drop наглядно демонстрирует смену правил игры на стороне защиты. Пока SOC-команды продолжают опираться преимущественно на сигнатурные проверки и репутацию доменов, атакующие получают всё больше пространства для манёвра. Использование Google Blogspot в роли доставочной инфраструктуры — прямой сигнал того, что блокировка по доменам как самостоятельная стратегия исчерпала себя. Ставку придётся делать на поведенческую аналитику, EDR-решения с контролем родительских процессов и жёсткие политики выполнения PowerShell вплоть до Constrained Language Mode.
Отдельного внимания заслуживают LOLBIN-инструменты — их присутствие в системе давно пора рассматривать как потенциальный вектор атаки, а не как безобидный служебный набор. Организациям, до сих пор не внедрившим мониторинг цепочек процессов и телеметрию памяти, стоит воспринимать историю с Veil#Drop как последнее предупреждение перед серьёзными инцидентами.



