Маскировка под WinDirStat: бэкдор в Microsoft Store

В Microsoft Store обнаружили маскирующиеся под легитимные утилиты приложения с Go-based backdoor-proxy

Новый анализ показал, что через Microsoft Store распространялись обманные приложения, выдававшие себя за популярные утилиты, включая WinDirStat и LightShot. На деле они использовались как прикрытие для доставки вредоносного Go-based backdoor-proxy, встроенного в приложения, созданные на Electron.

Исследование, включавшее reverse engineering и dynamic analysis, подтвердило: при запуске такие программы загружают нативную Go DLL под названием client.dll через Node.js FFI. После активации библиотека устанавливает соединение с удалённой инфраструктурой управления и создаёт C2-канал, используя механизм циклической проверки состояния, который позволяет управлять параметрами работы внедрённого модуля.

Как работает вредоносная цепочка

По данным анализа, вредоносные приложения не просто выполняют функцию загрузчика, но и служат приманкой. Их интерфейс выглядит привычно и может сохранять работоспособность даже при сбое загрузки вредоносных компонентов. Это достигается за счёт подавления ошибок в процессе загрузки DLL, что затрудняет обнаружение инцидента пользователем.

Такой подход делает вредоносную нагрузку модульной и позволяет повторно использовать её в нескольких приложениях, маскирующихся под легитимные инструменты. В результате риск заражения возрастает, поскольку пользователь не видит очевидных признаков компрометации.

• приложения построены на Electron;
• вредоносный компонент загружается через Node.js FFI;
• client.dll устанавливает связь с удалённым C2;
• используется yamux для мультиплексирования нескольких proxy-сессий;
• соединения защищаются с помощью TLS.

Признаки кампании и индикаторы компрометации

Исследователи также выделили конкретные индикаторы, связанные с кампанией. Среди них — характерные запросы /register и /ping к серверу C2, а также уникальные строки и идентификаторы, указывающие на структурированную архитектуру обратного подключения.

Отдельное внимание привлекли артефакты конфигурации, извлечённые из связанных приложений. Они содержат идентификаторы, связанные с используемой инфраструктурой reverse connection, что помогает атрибутировать активность и связывать отдельные образцы между собой.

Связанные образцы и инфраструктура

В ходе дальнейшего изучения была обнаружена способность вредоносного кода внедряться в другое программное обеспечение. В частности, исследователи отметили файл recorder.exe, который размещает monitor.dll и при инициализации может подключаться к IP-адресам, связанным с GhostSocks.

Кроме того, было зафиксировано создание конфигурационного файла, содержащего критически важную информацию для подключения. Это ещё раз подтверждает сложную архитектуру угрозы, ориентированную на сокрытие активности от пользователя и сохранение устойчивого канала управления.

Почему это важно для пользователей Microsoft Store

Выявленная схема ставит под сомнение уровень доверия к программному обеспечению, распространяемому через Microsoft Store. Особенно опасно то, что такие приложения используют звучные и привычные имена, формируя у пользователя ложное ощущение безопасности.

Соотнесение активности с фреймворком MITRE ATT&CK показывает изощрённость кампании: она охватывает тактики от Masquerading до User Execution и использует нативные API для доставки полезной нагрузки.

«Этот анализ служит предупреждением о потенциальных рисках, создаваемых кажущимися безобидными приложениями».

Итог расследования очевиден: приложения, выглядящие как обычные утилиты, могут быть частью хорошо структурированной вредоносной кампании. Специалисты призывают к повышенному вниманию к источникам загрузки программ, проверке репутации приложений и усилению общей осведомлённости о безопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.