Операторы трояна Astaroth использовали новую технику, чтобы проникать на компьютеры жертв в обход защитных систем. Как выяснил ИБ-исследователь Марсель Афраим (Marcel Afrahim), злоумышленники взяли на вооружение службу Cloudflare Workers, легитимное онлайн-решение для работы с JavaScript.

Облачный провайдер Cloudflare продвигает сервис как возможность эффективно выполнять код в любой точке мира без забот о сопутствующей инфраструктуре. Злоумышленники же обратили внимание на то, что при обработке скриптов система возвращает результат через случайные URL. Это позволяло преступникам доставлять полезную нагрузку через множество адресов и избегать блокировки. На момент публикации Cloudflare закрыла возможность атаки.

Схема кибератак через Cloudflare Workers

На первом этапе атаки жертва получала фишинговое письмо с HTML-файлом во вложении. В его коде Афраим обнаружил обфусцированный JavaScript-сценарий, который загружал JSON-объект с удаленного сервера, упаковывал его в ZIP-файл и разворачивал полученный результат на целевой машине.

Исследователь подчеркивает, что в каждом случае на компьютер попадал новый архив, который создавался динамически, исходя из особенностей пораженного устройства. Это позволяло преступникам использовать один управляющий узел для запуска множества параллельных кампаний и обходить ограничения на загрузку файлов. Кроме того, злоумышленники таким образом избегали антивирусных песочниц. При попадании на 32-битную машину (а это, как правило, виртуализированные среды) доставка полезной нагрузки блокировалась.

Внутри ZIP-архива находилась ссылка, ведущая на панель Cloudflare Workers, где и размещался вредоносный скрипт. Именно этот URL менялся от кампании к кампании. По подсчетам Афраима, организаторы кампании использовали 10 узлов Cloudflare Workers, что позволяло им создать около 900 млн уникальных ссылок.

После загрузки сценария он выполнялся через Windows Script Host. В результате на пользовательскую машину доставлялась финальная полезная нагрузка — вредоносная DLL-библиотека, известная экспертам как Astaroth. Как сообщалось ранее, этот зловред направлен на похищение системных и конфиденциальных данных.

Преимущества Cloudflare Workers для киберпреступников

Исследователь также указал, что, хотя Cloudflare Workers не позволяет хранить файлы на своих серверах, система допускает обращение за объектами к внешним источникам. Антивирусные продукты не могут проверить безопасность этого содержимого перед запуском скрипта, чем и пользуются преступники.

По словам Афраима, Cloudflare Workers объединяет в себе сразу несколько особенностей, которые играют на руку преступникам.

Как и законопослушные клиенты, они охотно пользуются возможностью выполнять код на гарантированно устойчивой и защищенной инфраструктуре. Еще важнее для злоумышленников тот факт, что такой метод доставки зловредного ПО невозможно заблокировать по индикаторам компрометации. Кроме того, при нарушении одной из линий атаки кампании можно быстро возобновить на другом узле.

Эксперты уже не в первый раз отмечают способности операторов Astaroth скрываться от систем безопасности. Этот бесфайловый зловред эффективно применяет технику «подножного корма», используя в работе системные утилиты. В результате обнаружить проникновение можно только по косвенным признакам и подозрительному поведению легитимных процессов.

Категории: Вредоносные программы