СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
19.09.2025
#Dev#ИБ

NeutralinoJS и WebView2: скрытые угрозы в calendaromatic-win_x64.exe

NeutralinoJS и WebView2: скрытые угрозы в calendaromatic-winx64.exe

NeutralinoJS, облегченный фреймворк для разработки кроссплатформенных настольных приложений с использованием веб‑технологий, демонстрирует серьезные риски для безопасности: он опирается на Microsoft Edge WebView2, а не поставляется на полноценном движке Chromium. Это облегчает разработку, но одновременно делает платформу привлекательной для создания маскируемых вредоносных оболочек.

Ключевые находки

  • Обнаружен файл calendaromatic-win_x64.exe, который действует как оболочка — основной вредоносный код упакован в архив resources.neu.
  • Архив resources.neu содержит стандартный веб‑код: HTML, CSS и минифицированные элементы JavaScript, что позволяет Malware выглядеть как обычное приложение.
  • Внутри пакета найдена подозрительная функция clean(), что может указывать на наличие методов обфускации и механизмов сокрытия дальнейшей вредоносной активности.
  • Использование гомоглифов (visually similar characters) служит как скрытый канал связи: сопоставления этих гомоглифов позволяют восстанавливать скрытые строки, что потенциально облегчает операции command‑and‑control (C2).
  • При тестировании в контролируемой виртуальной среде конечная точка API, связанная с вредоносным ПО, возвращала статус «404 не найдено», что дополнительно подтверждает обманчивую природу развернутых механизмов.
  • Анализ сетевого трафика по связанному домену показал, что 77,7% запросов исходили из Соединенных Штатов; среди прочих стран значимы Великобритания, Канада и Австралия — это указывает на прицельную активность против пользователей в этих регионах.

Почему это важно

NeutralinoJS привлекает разработчиков небольшим размером и простотой интеграции веб‑интерфейсов в десктоп‑приложения. Однако использование WebView2 вместо полного Chromium означает, что некоторые встроенные защитные механизмы браузерного движка могут отсутствовать или работать иначе, что увеличивает поверхность атаки. Маскировка вредоносной логики в архиве с веб‑ресурсами делает такие приложения труднее анализируемыми стандартными механизмаи́ AV‑сканеров.

Особую опасность представляет применение гомоглифов как covert channel: визуально безобидные символы могут кодировать чувствительные данные и команды, что делает обнаружение и корреляцию с известными сигнатурами сложнее. Возврат «404» от API в тестах согласуется со стратегией ложных индикаторов для сокрытия реальной цели соединений.

Рекомендации для пользователей и организаций

  • С осторожностью относитесь к установке неизвестных desktop‑приложений на базе NeutralinoJS; проверяйте цифровые подписи и репутацию поставщиков.
  • Инспектируйте содержимое архивов типа resources.neu при подозрениях: наличие минифицированного JavaScript и функций с именами вроде clean() должно вызывать повышенное внимание.
  • Настройте мониторинг исходящего трафика и поведенческий анализ: необычные запросы к внешним доменам и геоконцентрация трафика (включая высокую долю из США) — признаки целевой эксплойтации.
  • Обновляйте компоненты платформы, в частности Microsoft Edge WebView2, и используйте EDR/NGAV с поддержкой анализа JavaScript в десктоп‑приложениях.
  • При инциденте изолируйте пораженные хосты, соберите артефакты (включая archives типа resources.neu) и проведите статический/динамический анализ в безопасной среде.

«Использование NeutralinoJS в сочетании с WebView2 упрощает разработку — и одновременно открывает новые векторы для маскировки вредоносной активности, включая обфускацию и скрытые каналы связи через гомоглифы», — отмечают авторы анализа.

Вывод

NeutralinoJS как инструмент сам по себе не вредоносен, но его архитектурные особенности и распространение делают платформу привлекательной для злоумышленников. Обнаружение calendaromatic-win_x64.exe с вложенным resources.neu, подозрительной функцией clean() и использованием гомоглифов в качестве скрытого канала — наглядный пример того, как легитимные фреймворки могут использоваться в атакующих целях. Организациям и пользователям важно учитывать эти риски и применять профильные меры защиты и детектирования.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: