Trojan.ChimeraWire: кликер, DLL‑хайджек и обход UAC

Trojan.ChimeraWire — это сложное вредоносное ПО, обнаруженное специалистами «Доктор Веб», которое в основном действует в среде Windows и предназначено для искусственного увеличения посещаемости веб‑сайтов путем имитации взаимодействия человека. В своей архитектуре троянец опирается на проекты с открытым исходным кодом, в частности zlsgo и Rod, используемые для автоматизированного управления веб‑сайтами и веб‑приложениями.

Trojan.ChimeraWire предназначен для искусственного увеличения посещаемости веб‑сайта путем имитации взаимодействия с человеком.

Методы проникновения и начальная инфицирование

По данным «Доктор Веб», начальный этап заражения связывают с Python.Downloader.208. Загрузчик использует перехват DLL search order, манипулируя процессом iscsicpl.exe для загрузки библиотеки ISCSIEXE.dll из каталога %SystemRoot%SysWOW64. Такой подход позволяет выполнить вредоносный код под видом легитимной библиотеки.

Ключевые техники и векторы атак (MITRE ATT&CK)

Trojan.ChimeraWire реализует набор техник, сопоставимых с платформой MITRE ATT&CK. Основные используемые методы включают:

  • Execution (T1204) — выполнение вредоносных файлов, библиотек или сценариев PowerShell с участием пользователя;
  • Применение стандартных инструментов: Windows Command Shell, Visual Basic, Python для выполнения задач атаки;
  • Persistence — закрепление в системе через планировщик задач Windows и запись в ключи Run реестра;
  • Privilege Escalation — повышение привилегий посредством перехвата поиска DLL и обхода механизмов контроля учетных записей (UAC);
  • Defense Evasion — шифрование и запутывание кода, создание скрытых окон, деобфускация файлов или путей для усложнения анализа;
  • Communication — двусторонняя связь по Web‑протоколам для управления и получения команд.

Особенности реализации и функциональность

Trojan.ChimeraWire выполняет роль кликера — автоматизированного посредника, имитирующего поведение реального пользователя на сайте. Авторская база базируется на open‑source проектах zlsgo и Rod, что облегчает управление браузерами и веб‑интерфейсами в автоматическом режиме. Для закрепления и устойчивой работы троянец комбинирует несколько механизмов:

  • инъекция и подмена DLL через DLL search order;
  • создание запланированных задач и запись в автозагрузку через реестр;
  • использование стандартных административных инструментов и скриптов для выполнения команд;
  • применение шифрования/обфускации и скрытых окон для затруднения обнаружения и анализа.

Механизмы уклонения и защиты от анализа

Для уменьшения видимости и затруднения исследования кода вредонос использует:

  • шифрование и запутывание (obfuscation) кода;
  • создание скрытых окон и скрытых процессов;
  • приемы деобфускации файлов или путей в момент выполнения;
  • обходы UAC и эксплуатация уязвимостей в механизмах загрузки библиотек.

Что это означает для организаций и пользователей

Trojan.ChimeraWire представляет реальную угрозу для сайтов и инфраструктуры, где важно честное измерение трафика и взаимодействий пользователей. Использование open‑source компонентов упрощает разработку подобных инструментов, а сочетание техник Persistence, Privilege Escalation и Defense Evasion повышает устойчивость вредоноса в среде Windows.

Организациям рекомендуется внимательно мониторить:

  • необычную активность планировщика задач и записи в ключах Run реестра;
  • подозрительные загрузки и запуск Python‑скриптов или бинарников;
  • изменения библиотек в системных каталогах (включая %SystemRoot%SysWOW64) и нестандартные загрузки DLL процессами;
  • аномалии в сетевом трафике по Web‑протоколам, связанные с двусторонним управлением.

Trojan.ChimeraWire демонстрирует, как сочетание открытых инструментов и классических техник злоумышленников позволяет создавать эффективные и трудно обнаруживаемые кампании. Своевременный мониторинг, контроль цепочки запуска и защита от подмены библиотек остаются ключевыми мерами противодействия.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: