Новооткритата malware фамилия AgingFly е използвана в атаки срещу местни администрации и болници, като основната цел е кражба на идентификационни данни от браузъри и чат приложения.
Кампанията е наблюдавана в Украйна от CERT-UA, която я свързва с хакерска група, обозначена като UAC-0247.
Как започва атаката
Началният вектор е класически фишинг:
- Жертвата получава имейл, представен като „хуманитарна помощ“
- Съдържа линк към компрометирана или фалшива страница
- Страницата доставя архив с вредоносно съдържание
В някои случаи се използват:
- реално компрометирани сайтове чрез XSS
- фалшиви страници, генерирани с ИИ инструменти
Веригата на заразяване
1. Изпълнение чрез LNK файл
Жертвата получава:
- shortcut файл (.LNK)
Той стартира:
- HTA handler (вграден Windows механизъм)
2. Изтегляне и изпълнение на код
HTA файлът:
- зарежда отдалечено съдържание
- показва „декой“ форма (измама за потребителя)
- създава task scheduler задача
След това:
- изтегля EXE payload
- инжектира shellcode в легитимен процес
3. Многостепенна атака
Според CERT-UA:
- използват се multi-stage loaders
- част от payload-ите са криптирани и компресирани
- включени са reverse shell компоненти (RAVENSHELL)
Какво краде AgingFly
След компрометиране, атаката се насочва към:
Браузъри (Chromium базирани)
- Google Chrome
- Microsoft Edge
- Brave
Чрез инструмент:
- ChromElevator (open-source tool за извличане на данни)
Кражба на:
- бисквитки
- запазени пароли
- сесийни токени
WhatsApp за Windows
- декриптиране на локални бази данни
- извличане на чат информация
Инструмент:
- ZAPiDESK
Движение в мрежата и разширяване на атаката
Атакуващите използват:
- RustScan (порт сканиране)
- Chisel (тунелиране)
- Ligolo-ng (reverse tunneling)
Целта е:
- lateral movement
- разширяване на достъпа в инфраструктурата
Техническа характеристика на AgingFly
AgingFly е C# базиран malware, който предоставя:
- remote control
- изпълнение на команди
- keylogging
- screenshot capture
- file exfiltration
Необичаен механизъм: динамично компилиране
Най-интересната особеност:
Malware-ът не съдържа готови команди
Вместо това:
- получава source code от C2 сървър
- компилира го локално на машината
Комуникация и управление
- WebSockets комуникация
- AES-CBC криптиране
- статичен ключ
- fallback канали през Telegram
Защо този подход е опасен
Плюсове за атакуващите:
- по-малък първоначален payload
- гъвкавост (нови функции в реално време)
- по-трудно статично откриване
Минуси:
- зависимост от C2
- по-сложно изпълнение
- по-лесно поведение за поведенчески анализ
Препоръки на експертите
CERT-UA препоръчва:
- блокиране на .LNK файлове
- блокиране на .HTA файлове
- ограничаване на JS execution от имейли
AgingFly показва нова тенденция в модерните кибератаки: динамичен malware, който се „компилира“ в реално време и използва легитимни инструменти за извличане на данни.
Комбинацията от фишинг, LNK/HTA вериги и open-source инструменти прави този тип атаки трудни за откриване и особено ефективни срещу институции с ограничени защитни механизми.
