Исследователи ThreatLocker обнаружили вредоносный установщик, который маскируется под LetsVPN, также известный как Kuailian VPN. Пользователь запускает файл, получает рабочее VPN-приложение, а вместе с ним — скрытый троян удаленного доступа GoodPersonRAT. Это тот случай, когда обман держится не на грубой подделке, а на легитимной программе внутри вредоносной упаковки.
Cybersecurity News пишет, что вредоносный установщик нацелен на пользователей китайского VPN-сервиса и дает атакующим почти полный контроль над зараженным компьютером. ThreatLocker нашла MSI-файл Kuailian_win-setup.86.msi, который содержит три компонента: настоящий подписанный установщик LetsVPN, загрузчик и зашифрованный фрагмент кода, из которого разворачивается основной клиент GoodPersonRAT.
В установщик встроена настоящая подписанная копия LetsVPN. После скрытых вредоносных действий она запускается и ставит VPN как ожидается. Пользователь видит привычный результат установки и не получает очевидного сигнала, что в системе появился троян.
Внутри MSI-файла лежит загрузчик promecefplugilte8.exe и файл 20260609.dat. Загрузчик выделяет исполняемую область памяти, читает содержимое .dat и запускает следующий этап. ThreatLocker описывает, что первые 32 байта фрагмента содержат инструкции расшифровки, а оставшаяся часть расшифровывается через XOR-операцию с ключом 0x25. После этого вредонос загружает основной компонент напрямую в память как DLL, не сохраняя финальную полезную нагрузку на диск.
Антивирусу сложнее поймать финальный файл, потому что его в обычном виде на диске нет. На диске видны установщик, загрузчик и зашифрованный фрагмент, а основная логика работает уже в памяти процесса. Такой подход называют бесфайловой или почти бесфайловой загрузкой, хотя отдельные вспомогательные файлы у атаки все же есть.
RAT — это remote access trojan, троян удаленного доступа. Такая программа дает оператору возможность управлять зараженным устройством: выполнять команды, смотреть экран, передавать файлы, собирать данные и закрепляться в системе.
Название GoodPersonRAT появилось из-за адресов серверов управления. Встроенная таблица содержит 40 наборов серверов, а часть доменов содержит фразу nishihaoren, которая переводится с китайского как «ты хороший человек». Cybersecurity News отдельно отмечает, что именно эта фраза стала основой названия, выбранного исследователями.
Выбор сервера управления идет через локальный файл install_state.ini с параметром InstanceId. Если файла нет, вредонос использует имя файла или папки запуска как запасной способ выбора набора серверов. Это дает операторам гибкость: инфраструктуру можно переключать без полной пересборки всей цепочки.
После подключения к серверу управления GoodPersonRAT держит постоянную TCP-сессию. Это отличается от схемы, где вредонос раз в несколько минут «стучится» на сервер и спрашивает команды. Постоянное соединение позволяет оператору отправлять действия почти сразу, как только машина выходит онлайн.
Набор возможностей широкий: передача файлов в обе стороны, интерактивная командная строка, поиск файлов, запуск дополнительных программ, проксирование трафика через зараженную машину, сбор нажатий клавиш, чтение буфера обмена, просмотр экрана и удаленное управление мышью и клавиатурой. Cybersecurity News резюмирует, что это почти полный удаленный контроль над зараженной системой.
Отдельно опасна функция прокси. GoodPersonRAT поддерживает SOCKS5 и HTTP-прокси, то есть может превращать зараженный компьютер в промежуточный узел. Через него атакующий способен ходить к внутренним ресурсам, маскировать внешний трафик и использовать доверенное положение жертвы в сети. Для компаний это риск не только одного зараженного ноутбука, но и дальнейшего ручного продвижения внутри инфраструктуры.
GoodPersonRAT отдельно проверяет Telegram Desktop. Вредонос упаковывает каталог tdata, где хранятся материалы сессии Telegram, в архив C:\ProgramData\MeitianGongzuoZiliao.zip. Название переводится как «ежедневные рабочие материалы». Этот архив может дать оператору доступ к данным сессии и настройкам клиента.
Троян также меняет прокси-настройки Telegram и системный прокси так, чтобы трафик шел через сервер, выбранный атакующим. Еще один прием — патчинг telegram.exe: вредонос переписывает часть кода клиента, чтобы пользователь не увидел обычное уведомление об изменении прокси. Cybersecurity News отдельно указывает, что это позволяет скрыть перенаправление трафика от пользователя.
GoodPersonRAT закрепляется через службу и задачу планировщика, настроенную на запуск при старте системы. Служба запускается автоматически и может работать до входа пользователя в систему. Это классический способ пережить перезагрузку и вернуть удаленный доступ после выключения компьютера.
Для оценки защиты вредонос проверяет установленные антивирусы и системы обнаружения через WMI-запрос. В списке ThreatLocker — 39 строк, соответствующих 25 поставщикам защитных продуктов, включая Microsoft Defender, CrowdStrike, SentinelOne, Bitdefender, Sophos и решения, популярные в Китае. Исследователи не нашли массового отключения всех этих продуктов: данные скорее используются для профилирования зараженной машины.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.