Trojan.ChimeraWire: кликер, DLL‑хайджек и обход UAC
Trojan.ChimeraWire — это сложное вредоносное ПО, обнаруженное специалистами «Доктор Веб», которое в основном действует в среде Windows и предназначено для искусственного увеличения посещаемости веб‑сайтов путем имитации взаимодействия человека. В своей архитектуре троянец опирается на проекты с открытым исходным кодом, в частности zlsgo и Rod, используемые для автоматизированного управления веб‑сайтами и веб‑приложениями.
Trojan.ChimeraWire предназначен для искусственного увеличения посещаемости веб‑сайта путем имитации взаимодействия с человеком.
Методы проникновения и начальная инфицирование
По данным «Доктор Веб», начальный этап заражения связывают с Python.Downloader.208. Загрузчик использует перехват DLL search order, манипулируя процессом iscsicpl.exe для загрузки библиотеки ISCSIEXE.dll из каталога %SystemRoot%SysWOW64. Такой подход позволяет выполнить вредоносный код под видом легитимной библиотеки.
Ключевые техники и векторы атак (MITRE ATT&CK)
Trojan.ChimeraWire реализует набор техник, сопоставимых с платформой MITRE ATT&CK. Основные используемые методы включают:
- Execution (T1204) — выполнение вредоносных файлов, библиотек или сценариев PowerShell с участием пользователя;
- Применение стандартных инструментов: Windows Command Shell, Visual Basic, Python для выполнения задач атаки;
- Persistence — закрепление в системе через планировщик задач Windows и запись в ключи Run реестра;
- Privilege Escalation — повышение привилегий посредством перехвата поиска DLL и обхода механизмов контроля учетных записей (UAC);
- Defense Evasion — шифрование и запутывание кода, создание скрытых окон, деобфускация файлов или путей для усложнения анализа;
- Communication — двусторонняя связь по Web‑протоколам для управления и получения команд.
Особенности реализации и функциональность
Trojan.ChimeraWire выполняет роль кликера — автоматизированного посредника, имитирующего поведение реального пользователя на сайте. Авторская база базируется на open‑source проектах zlsgo и Rod, что облегчает управление браузерами и веб‑интерфейсами в автоматическом режиме. Для закрепления и устойчивой работы троянец комбинирует несколько механизмов:
- инъекция и подмена DLL через DLL search order;
- создание запланированных задач и запись в автозагрузку через реестр;
- использование стандартных административных инструментов и скриптов для выполнения команд;
- применение шифрования/обфускации и скрытых окон для затруднения обнаружения и анализа.
Механизмы уклонения и защиты от анализа
Для уменьшения видимости и затруднения исследования кода вредонос использует:
- шифрование и запутывание (obfuscation) кода;
- создание скрытых окон и скрытых процессов;
- приемы деобфускации файлов или путей в момент выполнения;
- обходы UAC и эксплуатация уязвимостей в механизмах загрузки библиотек.
Что это означает для организаций и пользователей
Trojan.ChimeraWire представляет реальную угрозу для сайтов и инфраструктуры, где важно честное измерение трафика и взаимодействий пользователей. Использование open‑source компонентов упрощает разработку подобных инструментов, а сочетание техник Persistence, Privilege Escalation и Defense Evasion повышает устойчивость вредоноса в среде Windows.
Организациям рекомендуется внимательно мониторить:
- необычную активность планировщика задач и записи в ключах Run реестра;
- подозрительные загрузки и запуск Python‑скриптов или бинарников;
- изменения библиотек в системных каталогах (включая %SystemRoot%SysWOW64) и нестандартные загрузки DLL процессами;
- аномалии в сетевом трафике по Web‑протоколам, связанные с двусторонним управлением.
Trojan.ChimeraWire демонстрирует, как сочетание открытых инструментов и классических техник злоумышленников позволяет создавать эффективные и трудно обнаруживаемые кампании. Своевременный мониторинг, контроль цепочки запуска и защита от подмены библиотек остаются ключевыми мерами противодействия.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



