СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
17 марта
#ИБ

OCRFix: ботнет, скрывающий C2 в BNB Smart Chain

Ботнет OCRFix представляет собой пример эволюции вредоносных операций: злоумышленники комбинируют знакомые приемы социальной инженерии с нетривиальным использованием блокчейн‑инфраструктуры, чтобы скрыть командование и управление (C2) и затруднить детекцию. Отдельные элементы кампании — от приманки до механизма обновлений — спроектированы так, чтобы минимизировать следы и обходить традиционные сетевые защиты.

Ключевые тезисы

  • Первичный вектор»: фальшивая приманка ClickFix с поддельной CAPTCHA заставляет жертву выполнить PowerShell‑команду из буфера обмена.
  • Дроппер: команда загружает MSI, маскирующийся под обновление ПО и содержащий трёхэтапную цепочку VBScript‑пейлоадов.
  • Блокчейн‑C2: для хранения и обновления URL C2 используется BNB Smart Chain и обращение к узлам через JSON-RPC.
  • Обновления без бинарных патчей: заражённые машины не требуют загрузки новых бинарей — они опрашивают смарт‑контракты и получают новые C2 через транзакции.
  • Устойчивость и уклонение: проверка UUID, добавление исключений для Defender, регулярная очистка каталога данных приложения и обфускация VBScript (Chr(), CLng(), операции XOR).

Как происходит заражение

Атака стартует с социальной инженерии: пользователю показывают поддельную CAPTCHA в приманке ClickFix, которая просит выполнить PowerShell‑команду, скопированную в буфер обмена. Эта команда загружает MSI‑дроппер, маскирующийся под легитимное обновление программного обеспечения.

MSI распаковывает и запускает цепочку из трёх стадий, каждая реализована через VBScript и дополнительно обфусцирована с использованием техник вроде Chr(), CLng() и операций XOR:

  • Стадия 1 — загрузчик: отвечает за первоначальную установку и подготовку окружения.
  • Стадия 2 — повышение привилегий и обеспечение устойчивости: добавление исключений для Defender, проверка и сохранение UUID, механизмы автозапуска.
  • Стадия 3 — бот: основной агент, опрашивающий C2 каждую минуту и выполняющий полученные команды.

Архитектура C2 через BNB Smart Chain

Ключевая инновация OCRFix — использование легитимных блокчейн‑узлов для доставки C2. Бот обращается к контракту в BNB Smart Chain через определённый function selector и извлекает закодированный в шестнадцатеричном виде URL для связи с C2. Запросы идут через JSON-RPC, и в ответах хранится последовательность, которую бот декодирует и использует как адрес C2.

Преимущество для операторов очевидно: из‑за децентрализованной природы блокчейна они могут менять C2 URL без обслуживания собственной инфраструктуры, просто создавая транзакции или обновляя данные в смарт‑контрактах. Это делает неэффективной модель защиты, основанную лишь на блокировке известных доменов и IP.

Механизмы уклонения и сохранения позиций

  • Отсутствие обязательных бинарных обновлений: все изменения проводятся через содержимое смарт‑контрактов, опрашиваемых по RPC.
  • Обфускация VBScript и использование нескольких этапов затрудняют статический анализ.
  • Добавление исключений для Defender и проверка UUID помогают сохранять устойчивость и избегать удаления.
  • Рутинная очистка старых файлов из каталога данных приложения уменьшает доказательную базу для судебно‑технического анализа.

«Используя законные блокчейн‑узлы для связи C2, ботнет может обойти традиционные сетевые защиты», — именно этим OCRFix выделяется в фоне современных угроз.

Практические рекомендации по обнаружению и защите

Защитникам стоит пересмотреть традиционные сценарии обнаружения и добавить ряд проактивных мер:

  • Анализировать тела ответов JSON-RPC, а не только источники запросов: проверять нетипичное содержимое контрактных вызовов и неожиданно длинные hex‑строки;
  • Мониторить обращения к узлам BNB Smart Chain и другие публичные RPC с рабочих станций и серверов, у которых нет легитимной необходимости в таких запросах;
  • Отслеживать поведение MSI‑инсталляторов, особенно если инсталлятор маскируется под update/patch и запускает PowerShell из буфера обмена;
  • Идентифицировать автоматические задачи/демоны, выполняющие сетевые операции каждую минуту;
  • Проверять и блокировать массовое добавление исключений в настройки Defender и других EDR/AV‑решений;
  • Внедрять правила EDR для обнаружения специфичных паттернов обфускации VBScript (использование Chr(), CLng(), XOR и пр.);
  • Восстанавливать процессы инвентаризации и контроль целостности, чтобы замечать изменения UUID‑проверок и посторонние автозапуски.

Вывод

OCRFix демонстрирует, как преступники адаптируют новые технологии блокчейна для повышения живучести своих операций и усложнения обнаружения. Комбинация классических методов социальной инженерии, многоступенчатых локальных загрузчиков и дистанционного управления через легитимные блокчейн‑инструменты требует от организаций пересмотра подходов к мониторингу и реагированию: защите необходимо анализировать не только сетевые адреса, но и содержание RPC‑взаимодействий, а также усилить контроль над локальной конфигурацией защитных решений.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: