Киберпрестъпната група LeakNet въвежда усъвършенстван подход за компрометиране на организации, комбинирайки социално инженерство с легитимни инструменти. Основният вектор за атака е техниката ClickFix, която подвежда потребителите да изпълняват злонамерени команди чрез фалшиви системни съобщения.

Този подход елиминира нуждата от класически експлойти, като вместо това използва човешкия фактор като входна точка.

„Bring Your Own Runtime“ – новото оръжие на атакуващите

Ключовата иновация в атаките е използването на Deno – легитимна среда за изпълнение на JavaScript и TypeScript извън браузъра.

Тази техника, известна като BYOR (Bring Your Own Runtime), позволява:

• Изпълнение на злонамерен код директно в паметта

• Избягване на запис върху диска

• Минимални съдебно-технически (forensic) следи

• Заобикаляне на защитни механизми и blocklist филтри

Критичният момент: вместо да използват разпознаваем malware loader, атакуващите инсталират напълно легитимен инструмент и го използват за злонамерени цели.

Как протича атаката – от ClickFix до C2 комуникация

Атаката следва ясно дефинирана и повтаряема верига:

1. Социално инженерство

Жертвата се подлъгва чрез ClickFix сценарий да стартира скрипт.

2. Стартиране на loader

Използват се:

• PowerShell скриптове (напр. Romeo*.ps1)

• VBS скриптове (напр. Juliet*.vbs)

3. Изпълнение в паметта

Deno декодира и стартира JavaScript payload директно в RAM, без файлови артефакти.

4. Профилиране и идентификация

Злонамереният код:

• Събира информация за системата

• Генерира уникален идентификатор на жертвата

5. Свързване към C2

Осъществява се комуникация със сървър за управление (C2), откъдето се изтегля вторичният payload.

6. Пост-експлоатация

• DLL sideloading чрез jli.dll

• Кражба на креденшъли (klist)

• Латерално придвижване чрез PsExec

• Екфилтрация на данни чрез **Amazon S3

Защо тази техника е толкова опасна

Силата на атаката е в нейната „легитимност“:

• Deno е подписан и доверен софтуер

• Активността изглежда като нормална разработка

• Липсват класически индикатори за компрометиране

Това значително затруднява традиционните системи за откриване, които разчитат на сигнатури или подозрителни бинарни файлове.

Индикатори за компрометиране (IoC)

Въпреки високата степен на прикритие, има ясни сигнали за атака:

• Изпълнение на Deno извън разработваща среда

• Подозрителни команди тип „misexec“ от браузър

• Необичайна употреба на PsExec

• Неочакван изходящ трафик към S3

• DLL sideloading в нестандартни директории

Повтаряемостта на веригата дава възможност за детекция, ако организациите наблюдават правилните поведенчески индикатори.

Eволюция на ransomware екосистемата

LeakNet, активна от края на 2024 г., все още поддържа сравнително нисък обем – около три жертви месечно. Но:

С внедряването на подобни техники групата има потенциал за бърза ескалация.

Тази кампания отразява по-широка тенденция:

• Преход към fileless атаки

• Използване на легитимни инструменти (Living-off-the-Land)

• Фокус върху избягване на детекция, а не само проникване

Какво означава това за защитата

Организациите трябва да адаптират защитата си:

• Поведенчески анализ вместо само сигнатурна защита

• Мониторинг на runtime среди като Deno

• Ограничаване на PowerShell и VBS изпълнение

• Контрол върху outbound трафик (особено към облачни услуги)

Ключовият извод:
Традиционният модел „злонамерен файл = заплаха“ вече не е достатъчен. Новите атаки се крият в легитимния софтуер.