СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
26.09.2025
#Dev#ИБ#Инфра

Swiss Post выявила ClickFix и DonutLoader: скрытая infostealer-кампания

Swiss Post выявила ClickFix и DonutLoader: скрытая infostealer-кампания

Источник: www.swisspost-cybersecurity.ch

Swiss Post недавно выявила многоступенчатую кампанию infostealer, в которой злоумышленники используют инновационные техники первоначального доступа и доставки полезной нагрузки. Атака сочетает социальную инженерию с запуском кода в памяти — что существенно осложняет обнаружение и реагирование защищающими решениями.

Краткое описание атаки

Кампания начинается с фишингового сценария: жертву перенаправляют на вредоносный веб‑сайт с поддельной капчей. Пользователю предлагают выполнить сочетание клавиш, которое вставляет в буфер обмена и запускает команду PowerShell. Выполняемая команда действует как dropper, запускающий дальнейшую вредоносную активность.

Как это работает — по шагам

  • Социальная инженерия: поддельная CAPTCHA на сайте и инструкция для пользователя выполнить сочетание клавиш.
  • Запуск PowerShell как dropper: вставленная команда запускается и маскируется — dropper скрывает консоль с помощью динамически сгенерированного кода на C# и вызовов Windows API.
  • Резервная маскировка: если простое скрытие не удаётся, dropper манипулирует заголовками окон, чтобы оставаться незамеченным.
  • Загрузка зашифрованной полезной нагрузки: dropper извлекает зашифрованный payload с удалённого сервера.
  • Инъекция compact .NET loader: этап PowerShell вводит в свой процесс компактный .NET loader, идентифицированный как believemesh.
  • Дешифровка и выполнение Donut: believemesh расшифровывает пакет командной строки Donut и выполняет его полностью в памяти (in‑memory), не создавая файлов и не порождая новых процессов.
  • Языковой чек: загруженное вредоносное ПО проверяет язык пользовательского интерфейса и прерывает работу при обнаружении русского или других языков СНГ — очевидная стратегия избежания самозаражения в регионах атакующих.
  • Обход EDR: Donut использует технику отключения перехвата системных вызовов, манипулирует памятью и потоками нестандартными способами, что позволяет обходить механизмы обнаружения и реагирования (EDR).
  • Финальная полезная нагрузка: Donut версии 0.9.3 запускает специализированный infostealer с характеристиками, не совпадающими напрямую с известными семействами, хотя присутствуют общие статические идентификаторы, встречающиеся в нескольких кампаниях.

Технические особенности и особенности уклонения

  • Использование поддельного пользовательского интерфейса (fake CAPTCHA) для вынуждения действий пользователя.
  • Запуск кода через буфер обмена и PowerShell — минимизирует явные артефакты на диске.
  • Динамический C# и вызовы Windows API для сокрытия консоли; манипуляция заголовками окон как запасной план.
  • In‑memory execution: Donut выполняет payload без записи на диск и без создания новых процессов.
  • Методы отключения перехвата системных вызовов (syscall bypass) для обхождения EDR.
  • Локализационная проверка для исключения исполнения на системах с русской/сопредельной локалью.

«Атака демонстрирует, как злоумышленники эффективно используют поддельные пользовательские интерфейсы и полезные нагрузки, размещаемые в памяти, для обхода традиционных мер безопасности.»

Почему это опасно

Комбинация социальных приёмов, выполнения в памяти и обхода EDR делает такую кампанию особенно вредоносной: стандартные сигнатуры и проверка диска с меньшей вероятностью обнаружат инфекцию, а поведенческие механизмы могут быть затруднены из‑за низкоуровневой манипуляции потоками и вызовами ядра. Кроме того, целенаправленное избегание российских и соседних систем указывает на операционную дисциплину злоумышленников и намерение атаковать внешние географии без риска «самоликвидации» операции.

Рекомендации по защите

  • Обучение пользователей: не выполнять вставленный из буфера обмена код и не следовать инструкциям с подозрительных сайтов.
  • Ограничение исполнения скриптов: включить политики выполнения PowerShell, использовать Constrained Language, внедрять AppLocker/WDAC.
  • Включить ScriptBlock Logging и AMSI, отслеживать необычные командные строки и инъекции в память.
  • Использовать многоуровневую защиту: обновлённые EDR/AV, сетевые фильтры, контроль исходящих соединений и сегментация сети.
  • Внедрять правила по контролю доступа и минимизации прав, мониторить процессы, выполняющие in‑memory загрузчики и подозрительные API‑вызовы.
  • Регулярно применять обновления и патчи ОС и платформы PowerShell.

Вывод

Обнаруженная Swiss Post кампания подчёркивает эволюцию современных операций вредоносного ПО: злоумышленники уменьшают следы на диске, повышают степень социальной инженерии и применяют техники обхода EDR. Это требует от организаций применения многоуровневой стратегии защиты, улучшенного мониторинга поведения процессов и постоянного обучения пользователей.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: