Исследователи Securonix раскрыли многоступенчатую кампанию Veil#Drop, где злоумышленники используют скомпрометированные сайты, обманные JavaScript-файлы, PowerShell и страницы Blogspot для доставки PureLog Stealer. Это стилер — вредонос для кражи данных: паролей из браузеров, cookie-файлов, автозаполнения, истории посещений, данных криптокошельков и сведений о системе. Финальная нагрузка запускается почти полностью в памяти, без привычного EXE-файла на диске.
SecurityWeek описывает Veil#Drop как фреймворк доставки вредоноса, который злоупотребляет скомпрометированными сайтами, Blogspot, PowerShell и бесфайловыми техниками ради обхода защиты и развёртывания PureLog. The Hacker News отмечает, что начальный доступ, вероятно, идёт через точечный фишинг или drive-by compromise — заражение после попадания пользователя на подконтрольный атакующим сайт.
Цепочка начинается с файла вроде transcript.pdf.js. Для пользователя он выглядит как документ: в Windows расширения часто скрыты, а название с «pdf» в середине создаёт иллюзию обычного PDF. На деле это JavaScript, который запускается через Windows Script Host — штатный компонент Windows для выполнения сценариев. После запуска wscript.exe поднимает PowerShell с обходом политики выполнения сценариев и забирает следующий этап с Blogspot.
Securonix приводит не только transcript.pdf.js, но и имена вроде phud.dudus.docx.pdf.olp.sys и niple.docx.odp.pdf.sys. Это старый приём, но он до сих пор работает: пользователь видит знакомые слова pdf, docx, odp, не замечает настоящий тип файла и запускает сценарий.

Blogspot здесь нужен для доверия. Это инфраструктура Google, у неё хорошая репутация, действующие сертификаты и глобальная доступность. Для сетевой защиты запрос PowerShell к неизвестному домену выглядел бы подозрительно. Запрос к blogspot.com может утонуть в обычном веб-трафике, особенно если организация не запрещает доступ к блоговым платформам. Securonix пишет, что Veil#Drop использует Blogspot как промежуточное хранилище этапов атаки, чтобы обходить проверки по репутации домена.
В отчёте указаны два наблюдавшихся Blogspot-домена: htlwub00klocate[.]blogspot[.]com и cpyzaramay26[.]blogspot[.]com. PowerShell забирал оттуда следующий код, а затем цепочка продолжалась уже локально. The Hacker News пишет, что в одном из этапов загрузчик открывал безобидную страницу, например Google, чтобы создать впечатление, будто документ действительно открылся, пока заражение шло фоново.
Дальше начинается главная часть трюка. Полезная нагрузка хранится в зашифрованном виде, а точнее в XOR-обфускации. XOR — простой способ скрыть содержимое: без ключа аналитик видит набор чисел, а не читаемый код или .NET-сборку. В Veil#Drop после расшифровки восстанавливаются два .NET-компонента: один идентифицирован как PureLog Stealer, второй помогает загрузке и выполнению.
Затем вредонос использует отражённую загрузку .NET-сборки — Reflection.Assembly::Load(). Байты программы собираются в памяти процесса PowerShell и запускаются оттуда. На диске нет обычныз EXE, DLL, временного файла с понятным хешем. Для расследования остаются процессы, память, сетевые события и журналы PowerShell.
Это и называется бесфайловым выполнением: вредоносная сборка работает в памяти, а классические файловые антивирусные проверки получают меньше точек для срабатывания. Securonix подчёркивает, что Veil#Drop специально уменьшает число артефактов на диске и заставляет защиту опираться на телеметрию процессов, журналы PowerShell, снимки памяти и связи между процессами.
Если основной способ запуска ломается, у Veil#Drop есть запасные варианты. Загрузчик может использовать легитимные подписанные утилиты Microsoft .NET: RegSvcs, InstallUtil, MSBuild, CSC, VBC и AspNet_Compiler. Такие бинарники называют LOLBIN — легитимные программы, которые злоумышленники используют «не по назначению». Они есть в системе или в среде разработки, выглядят менее подозрительно, а в связке с PowerShell помогают протащить выполнение туда, где прямой запуск вредоноса уже заблокировали.
Финальная цель — PureLog Stealer. Это .NET-стилер, который собирает учётные данные браузеров, cookie, автозаполнение, историю, данные криптокошельков и сведения о системе. Для атакующих — это готовый набор токенов, паролей, сессионных файлов и контекста машины, который можно использовать для угона аккаунтов, кражи криптовалюты или следующего этапа атаки внутри компании.
Securonix рекомендует искать связки wscript.exe → powershell.exe, JavaScript из пользовательских папок, PowerShell с -ExecutionPolicy Bypass, -NoProfile, -EncodedCommand, команды Invoke-RestMethod, Invoke-Expression, обращения скриптовых движков к Blogspot/Blogger и признаки отражённой загрузки .NET через Assembly.Load.
Ещё один сигнал — PowerShell, который после обращения к Blogspot запускает .NET-утилиты вроде InstallUtil.exe, MSBuild.exe или RegSvcs.exe. В обычной пользовательской работе такая цепочка встречается редко. В разработке и администрировании она возможна, поэтому блокировать всё подряд нельзя, но для EDR и SIEM это хороший повод поднять тревогу и проверить контекст.
Стоит включить и анализировать PowerShell Script Block Logging, особенно события с Invoke-RestMethod, Invoke-WebRequest, Invoke-Expression, -ExecutionPolicy Bypass, -NoProfile, -EncodedCommand, Reflection.Assembly::Load, Add-Type и ScriptBlock::Create. Securonix отдельно выделяет эти элементы как полезные точки обнаружения Veil#Drop.
Нужно отслеживать запуск JavaScript-файлов из Downloads, Desktop, %TEMP%, %APPDATA% и %ProgramData%, особенно если следом появляется PowerShell. Цепочки wscript.exe → powershell.exe и cscript.exe → powershell.exe в обычной офисной среде должны считаться подозрительными до проверки.
Отдельный контроль нужен для обращений к blogspot.com и blogger.com от скриптовых и административных процессов: powershell.exe, wscript.exe, cscript.exe, mshta.exe. Сам Blogspot не является вредоносным сервисом, поэтому важен не домен сам по себе, а процесс, который к нему обращается.
Для рабочих станций полезно включить отображение расширений файлов в Windows и запретить запуск сценариев из пользовательских папок там, где это не нужно. Файлы с именами вроде invoice.pdf.js, purchase_order.pdf.js и transcript.pdf.js должны попадать в обучение сотрудников как отдельный пример
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.