Исследователи Elastic Security Labs сообщили об атаке на финансовую организацию в Южной Азии, где злоумышленники использовали два самописных вредоносных компонента: BRUSHWORM и BRUSHLOGGER. Первый выполнял роль модульного бэкдора, то есть скрытого канала удалённого доступа, а второй работал как кейлоггер — программа для перехвата нажатий клавиш. Вместе они позволяли красть файлы, закрепляться в системе, собирать вводимые данные и распространяться через USB-накопители.
По данным Elastic Security Labs, инцидент направили против финансовой организации в Южной Азии. В атаке использовались два отдельных бинарных файла, каждый со своей задачей: BRUSHWORM отвечал за удалённый доступ, загрузку дополнительных компонентов, кражу документов и распространение через съёмные носители, а BRUSHLOGGER тихо записывал нажатия клавиш и активные окна пользователя. Эту связку описали исследователи в отчёте от 27 марта 2026 года.
BRUSHWORM маскировался под файл paint.exe. Исследователи называют его модульным бэкдором: это означает, что после запуска он не просто находится в системе, а может получать команды с удалённого сервера управления, скачивать новые модули и расширять возможности атаки уже после проникновения. В этой кампании ему приписывают установку постоянного присутствия в системе, обмен с C2-сервером, выгрузку данных и копирование себя на подключённые USB-устройства.
BRUSHLOGGER, в свою очередь, маскировался под libcurl.dll. Здесь использовалась техника DLL side-loading, или подгрузка поддельной библиотеки DLL. По сути, злоумышленники подсовывают системе или приложению вредоносную библиотеку с именем, похожим на легитимный файл, чтобы она загрузилась как обычный компонент. В этой кампании задача BRUSHLOGGER была довольно узкой, но опасной: он записывал каждое нажатие клавиши и фиксировал заголовок активного окна, то есть помогал понять, где именно пользователь вводил логин, пароль, финансовые данные или внутреннюю переписку.
Исследователи отмечают, что атака выглядела целевой, но технически не была особенно изящной. По их оценке, в коде не было серьёзной упаковки или продвинутых механизмов защиты от анализа. Напротив, в образцах нашли довольно грубые ошибки разработки. Один из примеров: BRUSHWORM сначала записывал расшифрованную конфигурацию на диск в открытом виде, затем создавал зашифрованную копию и удалял исходный файл. Для профессионального малвара это не лучший подход, потому что он оставляет лишние следы. В Elastic предполагают, что автор мог быть неопытным и, возможно, использовал AI-генерацию кода без ручной проверки результата.
Один из самых примечательных элементов кампании — распространение через USB. BRUSHWORM копировал себя на подключённые съёмные носители и использовал для файлов названия вроде SalarySlips.exe, Documents.exe и DontDelete.exe. Имена подобрали так, чтобы сотрудник в корпоративной среде с большей вероятностью открыл файл, решив, что это зарплатные документы, рабочие материалы или технический служебный файл. Это особенно важно для изолированных или частично изолированных сред, где интернет-доступ ограничен: тогда USB становится не только способом переноса файла, но и каналом вывода украденных данных.
BRUSHWORM создавал скрытые каталоги, в том числе C:\ProgramData\Photoes\Pics\ и C:\Users\Public\Libraries\. Исследователи обратили внимание на опечатку Photoes вместо Photos: она встречалась последовательно и, по их мнению, выглядела как подлинная ошибка автора, а не как случайная деталь. Для автозапуска после перезагрузки использовались задания планировщика Windows — MSGraphics и MSRecorder. Второй запускал Recorder.dll черезrundll32.exe, то есть через штатный системный механизм загрузки DLL.
В отчёте также сказано, что BRUSHWORM обращался к серверу управления и загружал DLL-компонент по HTTP-запросу, сохраняя его как Recorder.dll. Elastic обнаружила и, вероятно, более ранние версии бэкдора через pivoting по VirusTotal — это метод, когда исследователь ищет связанные образцы, инфраструктуру и артефакты через уже известный файл. В результате были найдены версии с именами V1.exe, V2.exe и V4.exe. Это говорит о том, что инструмент дорабатывался до боевого применения, а сама операция не была полностью импровизированной.
Для защиты Elastic рекомендует ограничивать запуск неподписанных бинарных файлов, внимательно отслеживать создание подозрительных заданий в Windows Task Scheduler, контролировать активность USB-устройств и мониторить аномальную загрузку DLL. Отдельно в отчёте упоминается, что для BRUSHWORM и BRUSHLOGGER доступны YARA-правила — шаблоны для поиска вредоносных файлов и артефактов по характерным признакам в инфраструктуре.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
