Специалисты Malwarebytes зафиксировали новую волну фишинговых атак, где злоумышленники маскируют вредоносное ПО под PDF-документы. Файлы с названиями вроде счетов или заказов на покупку на самом деле - виртуальные жёсткие диски (VHD), которые устанавливают троян AsyncRAT для удалённого управления компьютером жертвы.
Механика атаки: использование IPFS и штатных функций Windows
Жертва получает деловое письмо с упоминанием счёта или заказа. Иногда злоумышленники выдают себя за реальные компании. В письме нет вложения - только ссылка на файл в IPFS (InterPlanetary File System). Эту децентрализованную сеть хранения всё чаще используют в фишинге: контент там сложно удалить, а доступ идёт через обычные веб-шлюзы.
Файл по ссылке называется как PDF и использует иконку PDF, но это VHD. Когда пользователь открывает его двойным кликом, Windows монтирует диск (например, E:) вместо запуска программы просмотра. Поскольку монтирование VHD - штатная функция Windows, это редко вызывает подозрения.
Внутри смонтированного диска лежит то, что выглядит как ожидаемый документ, но в реальности это Windows Script File (WSF). При открытии Windows запускает код вместо отображения PDF.
После нескольких проверок на анализ и обнаружение скрипт внедряет AsyncRAT в доверенные процессы Microsoft с цифровой подписью:
RuntimeBroker.exeOneDrive.exetaskhostw.exesihost.exe
Троян не записывает исполняемый файл на диск. Он работает полностью в памяти внутри легитимных процессов, что затрудняет обнаружение и цифровую экспертизу. Кроме того, он избегает резких скачков активности или потребления памяти, которые могли бы привлечь внимание.
Риски и последствия заражения
Успешное заражение предоставляет злоумышленникам практически полный контроль над узлом:
- Кражу сохранённых и введённых паролей, включая доступы к почте, банкам и соцсетям.
- Доступ к конфиденциальным документам, фотографиям и другим файлам.
- Слежку через периодические скриншоты или, если настроено, захват изображения с веб-камеры.
- Использование машины как плацдарма для атак на другие устройства в сети.
Меры противодействия
Учитывая скрытный характер атаки, основная нагрузка по защите ложится на превентивные меры и бдительность пользователей:
- Не открывайте вложения из писем, пока не убедитесь в их легитимности через доверенный источник.
- Включите отображение расширений файлов. По умолчанию Windows их скрывает. Файл
invoice.pdf.vhdбудет показан какinvoice.pdf.
Как включить: откройте проводникWindows + E, перейдите вВид>Показать>Расширения имён файлов. Или через Параметры проводника снимите галочку Скрывать расширения для зарегистрированных типов файлов. - Используйте актуальный антивирус с защитой от угроз в памяти.
- Будьте осторожны с файлами из IPFS. Ссылки обычно выглядят как
ipfs.io/ipfs/[хеш]или идут через другие публичные шлюзы.
Эта атака показывает, как развиваются угрозы, связанные с форматом PDF. Хотя здесь используется не настоящий PDF, а VHD с иконкой PDF, принципы анализа остаются теми же. О том, как проводить глубокую экспертизу PDF-документов, находить скрытые угрозы и проверять подлинность файлов, мы писали в материале "Цифровая криминалистика PDF: как найти скрытые данные и следы манипуляций".
Кампания DEAD#VAX - ещё одно напоминание: внешний вид файла больше не гарантирует его содержимое. При растущей сложности атак важна не только техническая защита, но и базовая цифровая грамотность сотрудников.
