Стеганография и PureLogs: фишинг скрывает .NET-стиллер
Злоумышленники всё чаще применяют Steganography для доставки вредоносных загрузок, и недавняя фишинг-кампания с .NET-стиллером PureLogs демонстрирует, насколько сложными становятся такие атаки. На первом этапе жертву вовлекают через письмо на тему счёта-фактуры, после чего цепочка заражения разворачивается в несколько последовательных стадий, каждая из которых специально рассчитана на обход традиционных средств обнаружения.
Как начинается атака
Атака стартует с фишингового письма, содержащего архив TXZ. Сообщение построено так, чтобы вызвать доверие и побудить пользователя открыть вложение. После извлечения архив раскрывает файл JavaScript, насыщенный функциями и вводящими в заблуждение комментариями на нескольких языках, призванными скрыть истинное назначение кода.
Далее сценарий запускает множество переменных окружения, заполненных бессмысленным текстом, а затем инициирует conhost.exe в безголовом режиме, чтобы скрыть активность процесса. После этого вызывается скрытый PowerShell-скрипт, который извлекает переменные окружения и применяет шифрование AES для расшифровки полезной нагрузки, за которым следует распаковка Gzip.
Скрытность и fileless execution
Такая динамическая загрузка вредоносного кода позволяет избежать традиционных методов обнаружения. Ключевая особенность этой схемы — загрузка .NET-сборки без использования файлов, то есть по сути fileless execution. Это затрудняет анализ инцидента и снижает эффективность сигнатурных средств защиты.
Отдельную роль в кампании играет загрузчик PawsRunner. Он дополнительно усиливает скрытность атаки, маскируя полезную нагрузку внутри визуально безобидных PNG-изображений. В данном случае Steganography используется для сокрытия данных в структуре файла, что позволяет вредоносному содержимому оставаться незаметным при поверхностной проверке.
Эволюция PawsRunner
PawsRunner демонстрирует заметную эволюцию своих методов. Если раньше он ограничивался простым скачиванием PE-файла, то теперь способен извлекать и выполнять зашифрованные полезные нагрузки, спрятанные внутри изображений. Это делает цепочку атаки более гибкой и усложняет её детектирование на разных этапах.
PureLogs: финальная стадия заражения
Финальный полезный код PureLogs — это .NET-стиллер, разработанный PureCoder, и наиболее сложный представитель семейства Pure. Для защиты он использует .NET Reactor, а для управления конфигурацией — Protobuf.
После запуска PureLogs извлекает критически важную информацию, включая данные сервера управления C2 и параметры конфигурации. Асинхронная архитектура позволяет ему эффективно выполнять несколько задач одновременно: проверять доступность связи и собирать данные жертвы.
Коммуникация с C2 и эксфильтрация данных
Для связи с C2 PureLogs использует HTTP-запросы вместо традиционных сокетов. Разные операции обслуживаются через отдельные конечные точки, включая /ping и /plugin. Такая схема позволяет организовать систематическую эксфильтрацию данных, при которой собранная информация передаётся по зашифрованным каналам.
Обработка данных также построена с упором на защиту от перехвата: используется шифрование AES в сочетании со сжатием Gzip. Это усложняет анализ трафика и затрудняет восстановление содержимого перехваченных пакетов.
Вывод
Кампания с PureLogs показывает, как быстро развиваются современные фишинговые цепочки: от простого вложения в письме до многоступенчатой схемы с Steganography, PowerShell, AES и скрытой сетевой коммуникацией. Сочетание маскировки, fileless execution и зашифрованной эксфильтрации делает такие атаки особенно опасными для пользователей и организаций.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
