Когато доверието се използва срещу сигурността
Ново разследване на Huntress разкрива тревожна кампания, при която на пръв поглед легитимен софтуер с валиден цифров подпис е използван за масово компрометиране на системи по целия свят. Само в рамките на един ден са регистрирани над 23 500 заразени устройства в 124 държави, като част от тях се намират в чувствителни среди – държавни институции, образователни организации, енергийни мрежи и здравни структури.
Това, което започва като типичен adware сценарий, бързо прераства в нещо много по-сериозно – инфраструктура за пълен контрол над заразените системи.
Зад фасадата на „потенциално нежелан софтуер“
Кампанията е свързана с компанията Dragon Boss Solutions LLC, чиито продукти се представят като алтернативни браузъри. На практика обаче тези инструменти са класифицирани като PUP (Potentially Unwanted Programs) и са засичани от множество защитни решения.
Разликата този път е съществена. Вместо да ограничат дейността си до показване на реклами или пренасочване на трафик, тези приложения разполагат с механизъм за актуализация, който позволява внедряване на допълнителен зловреден код с високи привилегии. Така adware компонентът се превръща във входна точка за последващи атаки.
Тиха инсталация и пълен контрол
Анализът показва, че атаката използва легитимния инструмент Advanced Installer, за да разпространява payload-и под формата на MSI пакети. Самият процес е проектиран така, че да протича напълно незабелязано – без известия, без изискване за взаимодействие от страна на потребителя и с автоматично повишаване на привилегиите до SYSTEM ниво.
Още преди да се разгърне основният зловреден компонент, системата се „оглежда“ – проверява се дали има администраторски права, дали работи във виртуална среда, какви защитни продукти са инсталирани. Това не е типично поведение за adware, а по-скоро за добре планирана атака.
Системно изключване на защитата
Ключов момент в операцията е PowerShell скрипт, който изключва защитните механизми на системата. Засегнати са продукти на компании като Kaspersky, ESET, McAfee и Malwarebytes.
Скриптът не просто спира антивирусите – той системно премахва техните файлове, услуги и записи в регистрите, като едновременно с това блокира достъпа до сървърите на производителите чрез модификация на hosts файла. Така се предотвратява както повторна инсталация, така и обновяване на защитата.
Допълнително, механизмът осигурява постоянство – изпълнява се при стартиране на системата, при логване на потребителя и на регулярни интервали. Това гарантира, че дори при частично възстановяване, защитата отново ще бъде премахната.
Най-опасният пропуск
Един от най-тревожните аспекти на кампанията е свързан с инфраструктурата за управление. Основният домейн, използван за актуализации, първоначално не е бил регистриран. Това означава, че всяка страна би могла да го придобие и да изпрати произволен код към вече компрометираните устройства.
Изследователите от Huntress успяват да регистрират този домейн и наблюдават десетки хиляди заявки от заразени системи, търсещи инструкции. В различен сценарий това би могло да доведе до мащабна ескалация – от adware към ransomware или шпионски операции.
Защо този случай е показателен
Тази кампания ясно демонстрира как класическите категории в киберсигурността започват да се размиват. Софтуер, който доскоро се е възприемал като „досаден, но безобиден“, вече може да служи като първа фаза от сложна атака.
Комбинацията от:
- валиден цифров подпис
- легитимни инструменти
- централизирана инфраструктура за управление
създава сценарий, при който зловредната дейност остава незабелязана до момента, в който вече е твърде късно.
Случаят показва, че доверието към подписан софтуер вече не е достатъчна гаранция за сигурност. Организациите трябва да разглеждат всяка външна зависимост – включително на пръв поглед безобидни приложения – като потенциален риск.
В свят, в който adware може да изключва антивируси и да подготвя системи за бъдещи атаки, границата между нискорисков и критичен софтуер практически изчезва.
