Специалисты HP опубликовали отчёт HP Wolf Security, где зафиксировали новые тактики злоумышленников, работающих по принципу Living off the Land (LOTL). Эти приёмы позволяют использовать легитимные системные компоненты Windows для скрытого запуска вредоносного кода. Главная цель — максимально затруднить выявление атак средствами защиты.
Как отмечает ведущий исследователь угроз HP Security Lab Алекс Холланд, наблюдается рост числа цепочек заражений, построенных на простых скриптах и нестандартных носителях вредоносного кода.
Он уточнил, что атакующие всё чаще внедряют полезную нагрузку в необычные форматы — например, в изображения. В результате вредоносная активность становится трудноотличимой от обычных операций системы. По словам эксперта, для запуска обратной оболочки вовсе не нужен полноценный RAT — достаточно минимального скрипта, который способен выполнять те же задачи и при этом почти не привлекает внимания.
В одном из зафиксированных эпизодов киберпреступники задействовали сразу несколько инструментов LOTL для распространения XWorm — удалённого трояна, способного красть данные и обеспечивать полный контроль над устройством. Финальная нагрузка была замаскирована в пикселях изображения, загруженного с доверенного веб-сайта, после чего извлечена через PowerShell и выполнена с помощью MSBuild.
Атака начиналась с фишинговых писем с вложениями в формате .chm (HTML Help). Эти файлы были замаскированы под техническую документацию, однако содержали только вредоносные скрипты, запускавшие цепочку заражения. Встроенный код задействовал несколько штатных исполняемых файлов Windows: extrac32.exe копировал в общедоступный каталог Public утилиту Windows Script Host (cscript.exe), а затем запускал VBScript.
Дальше PowerShell выполнял пакетный файл, загружавший JavaScript в каталог ProgramData. Этот скрипт подключал изображение с ресурса управления цифровыми активами Tagbox.
Поскольку домен считался доверенным, а сам файл выглядел как корректное изображение, система защиты не блокировала загрузку. На самом деле в растровом объекте были спрятаны данные XWorm, которые после декодирования выполнялись в легитимном процессе MSBuild.
Эксперты HP отмечают, что развитие LOTL-тактик свидетельствует о повышенной изобретательности киберпреступников. Использование встроенных в систему инструментов и маскировка под легальные файлы создают значительные трудности для традиционных систем защиты, которые ориентируются на обнаружение подозрительных программ, а не штатных процессов.