Подписанное ПО Dragon Boss стало каналом для вредоносных обновлений
Компания Dragon Boss Solutions LLC, ранее известная как распространитель potentially unwanted programs (PUPs), оказалась связана с более серьезной cyber threat. По данным отчета, ее signed software тайно извлекает и запускает malicious payloads, способные disabling antivirus на скомпрометированных компьютерах.
Угроза примечательна тем, что attackers используют legitimate code-signing certificates, чтобы обходить security controls и закрепляться на более чем 25 000 endpoints. При этом вектор атаки опирается на system updates, которые в первую очередь обращаются к незарегистрированному домену chromsterabrowser.com.
Как устроена схема атаки
По отчету, проблема заключается в том, что домен chromsterabrowser.com не был закреплен за действующим владельцем. Это создало окно для takeover: любой злоумышленник мог перехватить домен и начать доставлять вредоносные updates для зараженного software. В результате обычное распространение PUP превратилось в серьезный supply chain risk.
Первые признаки активности были зафиксированы в конце March 2025, однако базовая infrastructure, по оценке исследователей, работала еще с конца 2024 года.
Persistence, WMI и блокировка security software
Malicious code создан для закрепления через Windows Management Instrumentation (WMI) и использования scheduled tasks для непрерывного выполнения. Дополнительно он блокирует попытки переустановки security applications, усложняя восстановление зараженных систем.
Ключевым элементом выполнения атаки стал PowerShell script под названием ClockRemoval.ps1. Согласно отчету, именно он:
- отключает antivirus features;
- добавляет exclusions для Windows Defender;
- мешает повторной установке protective software на неопределенный срок.
Проверки среды и отключение Chrome auto-update
Авторы вредоносного кода предусмотрели дополнительные checks для определения среды выполнения. В частности, код проверяет статус system administrator и наличие virtual machines.
Отдельно отмечается, что execution path модифицирует Chrome binaries, отключая функцию automatic updates. Это создает дополнительную уязвимость, которую злоумышленники могут использовать в дальнейшем.
Подтверждение угрозы: перехват traffic через sinkhole
Реальное подтверждение активности исследователи получили после регистрации вредоносного домена и перехвата outbound connections с зараженных систем. За 24 часа наблюдения было зафиксировано более 23 500 unique IP addresses, обращавшихся к sinkhole.
Большинство подключений приходилось на United States и Europe. Среди затронутых объектов были не только обычные корпоративные сети, но и:
- universities;
- government agencies;
- operational technology networks.
Почему этот случай важен для cybersecurity
Этот инцидент показывает, как PUPs эволюционировали из относительно малозначимой категории в потенциальный вектор для более сложных атак. Наличие signed software, доверие к code signing и ошибки в управлении доменной инфраструктурой создали условия, при которых обычное заражение стало масштабной угрозой.
В отчете подчеркивается, что detection strategies должны учитывать не только традиционные indicators of compromise, но и:
- мониторинг WMI event subscriptions;
- проверку связей с scheduled tasks;
- анализ процессов, подписанных решениями Dragon Boss.
Как отмечается в материале, превращение ранее недооцененных PUPs в серьезную security threat подчеркивает необходимость усиленной vigilance, а также proactive measures в detection и incident response.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
