Конвертер-трояны: рекламные кампании, RAT и защита Windows

Отчет описывает серию вредоносных кампаний, в основе которых лежат трояны удаленного доступа (RAT), и уделяет особое внимание способам распространения — главным образом через вредоносную рекламу. Пользователь, случайно кликнувший на рекламный баннер, может быть перенаправлен на поддельное приложение-конвертер, которое маскируется под законное ПО и служит «дроппером» для дальнейших вредоносных нагрузок.

Механизм заражения

Схема распространения повторяется по схожему сценарию:

• Вредоносная реклама перенаправляет на сайт с поддельным конвертером.
• Пользователь устанавливает приложение, думая, что это легитимное ПО.
• Установленный исполняемый файл функционирует как дроппер, развёртывая дополнительные полезные нагрузки и устанавливая связь с C2 (сервером управления).
• Для устойчивого присутствия на системе злоумышленники создают запланированные задачи, указывающие на вредоносные исполняемые файлы, размещённые в каталогах, доступных для записи пользователю.

Конкретный пример: ConvertMate.exe

В качестве иллюстрации в отчете приводится пример файла ConvertMate.exe, распространяющегося через домен conmateapp.com. После запуска этот файл попадает в данные локального приложения пользователя и служит отправной точкой для дальнейшей компрометации.

Технические особенности и индикаторы

• Многие компоненты написаны на C# и подлежат декомпиляции, что упрощает последующий анализ.
• Злоумышленники используют сертификаты подписи кода, чтобы придать исполняемым файлам видимость доверенных — при этом многие сертификаты были отозваны.
• Ключевой техникой устойчивости является создание запланированных задач Windows, которые указывают на исполняемые файлы в пользовательских профилях и других каталогах с правом записи.
• Поведение дроппера: развёртывание дополнительных полезных нагрузок, установка связи с C2 и маскировка активности, чтобы оставаться незамеченным пользователем.

Рекомендации по обнаружению

Организациям важно отслеживать специфические события и внедрять средства детектирования:

• Мониторинг событий Windows, связанных с созданием задач — в частности, обращать внимание на Event ID 4698 (создание запланированной задачи).
• Развёртывание и настройка дополнительных средств журналирования, таких как Sysmon, для подробного аудита активности процессов, создания файлов и сетевых связей.
• Анализ исполняемых файлов на предмет подписи и статуса сертификатов (отозван/действителен).

Превентивные меры и контроль запуска приложений

Для снижения риска запуска подобных вредоносных программ рекомендуется комбинировать несколько мер контроля:

• Внедрение allowlisting с помощью технологий вроде AppLocker или Windows Defender Application Control (WDAC), чтобы запрещать запуск исполняемых файлов из каталогов профилей пользователей.
• Ограничение возможности записи и запуска исполняемых файлов из пользовательских директорий, если это возможно по политике организации.
• Регулярное обновление и проверка политик безопасности и правил подписей приложений.

Инструменты для расследования

В отчете упомянут инструмент THOR, который помогает оптимизировать обнаружение и анализ таких инфекций. Он упрощает рабочий процесс расследования и позволяет аналитикам быстро выявлять первоначальные признаки компрометации без глубокого ручного перебора журналов.

Вывод

Главная угроза этих кампаний — использование привычного и, на первый взгляд, безобидного сценария (конвертеры, реклама) для доставки сложного вредоносного ПО. Ключевые рекомендации — внимательно отслеживать создание запланированных задач и подозрительной активности, использовать расширенное журналирование и внедрять строгие механизмы контроля запуска приложений (AppLocker/WDAC). При этом возможности декомпиляции компонентов на C# и применение инструментов вроде THOR делают расследование эффективнее и помогают быстрее остановить распространение инфекции.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.