Эксперты компании Securonix сообщили об интересном методе заражения, используемом хакерами, рассылающими зловредные электронные письма. Вредонос распространяется с помощью восьми промежуточных загрузчиков PowerShell (stagers). Один из них тщательно проверяет среду выполнения и реагирует, если находит что-то подозрительное.
Анализ показал, что вложенный ZIP-файл в фишинговом письме содержит LNK-файл с двойным расширением (.pdf.lnk) — в целях маскировки. При запуске он подключается к серверу C2 и начинает процесс заражения с помощью промежуточных загрузчиков PowerShell (stagers).
Наиболее интересным оказался последний, восьмой скрипт, который делает все возможное, чтобы скрыть проникновение в систему и обеспечить надлежащие условия для работы:
- пытается обойти защиту Windows AMSI путем отключения режима анализа кода
- проверяет свой список процессов, связанных с отладкой и мониторингом
- С помощью WMI проверяет разрешение экрана (высота должна быть более 777 пикселей), объем памяти (более 4 ГБ), дату установки ОС (более трех дней назад)
- с помощью команд PowerShell проверяет наличие виртуальной среды и подключение к домену Active Directory.
Если хотя бы один результат был неудовлетворительным, вредоносный скрипт отключал сетевые адаптеры, блокировал весь входящий и исходящий трафик, удалял файлы в папке «Пользователи» на дисках, а затем выключал компьютер.