Новый загрузчик в ZIP-файлах на VirusTotal: TorNet и PureHVNC

В мае 2025 года исследователи обнаружили новый загрузчик, демонстрирующий ряд отличительных черт по сравнению с типичными загрузчиками, ранее фиксировавшимися при анализе вредоносного ПО. Загрузчик был найден в нескольких сжатых ZIP-файлах, загруженных на VirusTotal, и способен разворачивать два принципиально разных по назначению вредоносных модуля — TorNet (загрузчик) и PureHVNC (RAT).

Как было обнаружено и как распространяется

Исходный артефакт представлял собой ZIP-архив, внутри которого находился комплекс компонентов. В составе архива присутствовали:

• сам загрузчик;
• законная библиотека DLL, используемая для проксирования процессов;
• несколько крупных легитимных установщиков программного обеспечения — вероятно, для маскировки злонамеренного содержимого и снижения вероятности детектирования средствами безопасности.

Такая архитектура указывает на попытку злоумышленников скрыть заражение за счёт легитимных файлов и распространения через архивы в формате ZIP, загружаемые на публичные сервисы вроде VirusTotal.

Техническая архитектура и механика работы загрузчика

После выполнения загрузчик осуществляет закрепление в системе: он модифицирует реестр для обеспечения автозапуска и создаёт структуру папок в каталоге %LOCALAPPDATA%. Для хранения и последующего выполнения полезной нагрузки загрузчик использует следующий подход:

• полезные данные (модули TorNet и PureHVNC) сначала сжимаются;
• затем сжатые данные шифруются алгоритмом AES-256-CBC и сохраняются как массив байтов;
• последующая загрузка/расшифровка этих данных позволяет динамически разворачивать разные типы вредоносного ПО.

Необычные технические особенности

Особое внимание в анализе привлекла реализация метода хэширования API: загрузчик использует алгоритм MurmurHash2 с конкретным начальным значением для генерации хэшей. Это выделяет его среди большинства загрузчиков, которые, как правило, не применяют подобную схему для генерации хэшей API.

«Загрузчик реализует метод хэширования API, который использует алгоритм MurmurHash2 с определенным начальным значением»

Комбинация нестандартного хэширования и хранение зашифрованных, сжатых модулей делает статический анализ более трудоёмким и усложняет однозначную идентификацию по простым сигнатурам.

TorNet и PureHVNC — два разных лица одной кампании

Важно отметить, что этот загрузчик способен разворачивать два функционально разных модуля:

• TorNet — использует сеть TOR для скрытой связи с командными серверами, что затрудняет сетевую детекцию и атрибуцию;
• PureHVNC — коммерческий RAT (Remote Access Trojan), предоставляющий злоумышленникам широкие возможности по удалённому управлению заражёнными хостами.

Двойное выполнение принципиально разных типов вредоносного ПО демонстрирует гибкость злоумышленников: в зависимости от цели кампании один и тот же загрузчик может обеспечить либо скрытую коммуникацию через Tor, либо полноценный удалённый контроль через RAT.

C2-инфраструктура и отслеживание

В отчёте указано, что были идентифицированы пункты назначения для командования и контроля (C2), включая IP-адреса, специфичные для операций TorNet и PureHVNC. Это даёт возможность для мониторинга и блокировки известных каналов связи, а также для поиска сопутствующих индикаторов компрометации.

Почему это важно и какие выводы следует сделать

Хотя сам загрузчик не вводит радикально новых функциональных возможностей, он привлекает внимание из-за следующих факторов:

• использование нестандартного метода хэширования API (MurmurHash2 с определённым seed);
• возможность развёртывания двух принципиально разных семейств вредоносного ПО из одного архива;
• маскировка с помощью легитимных установщиков и библиотек, что усложняет обнаружение.

Эти характеристики подчёркивают потенциал эволюции вредоносных кампаний в сторону большей гибкости и устойчивости к традиционным методам обнаружения.

Рекомендации для защиты и обнаружения

Для противодействия подобным угрозам эксперты рекомендуют:

• усилить мониторинг изменений реестра, особенно в ветках автозапуска, и создание новых директорий в %LOCALAPPDATA%;
• анализировать содержимое ZIP-архивов и вложенных установщиков на предмет присутствия необычных зашифрованных/сжатых блоков данных;
• внедрять правила детектирования для аномалий хэширования API (например, искать признаки использования MurmurHash2 с фиксированным seed);
• отслеживать сетевую активность через TOR и выявлять попытки туннелирования или аномальные соединения, связанные с известными C2-IP;
• использовать эвристики и поведенческий анализ для выявления загрузчиков, маскирующихся под легитимные установщики;
• обновлять сигнатуры и правила (YARA/Sigma/IDS) с учётом новых индикаторов и тактик злоумышленников.

Заключение

Обнаруженный в мае 2025 года загрузчик подчёркивает тенденцию к увеличению гибкости вредоносных инструментов: сочетание нестандартных реализаций (например, MurmurHash2), шифрования полезной нагрузки (AES-256-CBC) и возможности разворачивать как TorNet, так и PureHVNC делает такие кампании труднее для обнаружения и сдерживания. Это требует от служб безопасности повышения уровня осведомлённости, внедрения многослойных детектирующих механизмов и оперативного обмена индикаторами компрометации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.