SOC Prime Bias: Середній

10 Apr 2026 13:43 UTC

Підроблений сайт підтримки Windows поширює шкідливе програмне забезпечення для крадіжки паролів

Author Photo
SOC Prime Team linkedin icon Стежити
Підроблений сайт підтримки Windows поширює шкідливе програмне забезпечення для крадіжки паролів
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

Вебсайт з помилковою адресою, що імітує Microsoft Support, поширює фальшиве оновлення Windows MSI. Після встановлення MSI розгортає додаток на основі Electron, який запускає VBS завантажувач, активує перейменований інтерпретатор Python і завантажує модулі для крадіжки облікових даних. Викрадені дані передаються через Render, Cloudflare Workers і GoFile, у той час як збереження відбувається за допомогою значення реєстру Run та ярлика в папці автозапуску. Діяльність орієнтована на користувачів, які говорять французькою мовою.

Розслідування

Дослідники отримали WindowsUpdate 1.0.0.msi і підтвердили, що він установлює обгортку Electron (WindowsUpdate.exe) і VBS завантажувач (AppLauncher.vbs). Потім процес Electron запускає прихований інтерпретатор Python (_winhost.exe), який імпортує бібліотеки для крадіжки інформації, щоб зібрати облікові дані браузера, токени Discord і платіжні дані. Телеметрія мережі показує початковий профіль хоста на www.myexternalip.com і ip-api.com, після чого відбувається C2 трафік до datawebsync-lvmv.onrender.com і sync-service.system-telemetry.workers.dev, а ексфільтрацію спостерігають на store8.gofile.io. Збереження забезпечується шляхом створення значення SecurityHealth під HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun і розміщенням ярлика Spotify.lnk у папці автозапуску користувача.

Пом’якшення

Видаліть значення SecurityHealth з розділу Run і видаліть Spotify.lnk з папки автозапуску користувача. Видаліть папку WindowsUpdate у AppDataLocalPrograms і видаліть тимчасову папку WinGettools. Скиньте збережені паролі, увімкніть MFA/2FA і виконайте повне сканування за допомогою оновлених антивірусних засобів.

Відповідь

Якщо спрацьовують попередження про підозрілу MSI, виконання VBS або створення ключа Run, ізолюйте хост, зберіть дані, що швидко зникають, і проведіть судово-медичну експертизу важливих шляхів AppData. Заблокуйте виявлені C2 домени і відстежуйте трафік для перерахованих сервіків рекон. Видаліть артефакти збереження і зміцніть безпечні робочі процеси оновлення, щоб запобігти повторному виконанню.

Потік Атаки

Виявлення

Можливе проникнення/вивантаження даних/C2 через сторонні сервіси/інструменти (через проксі)

Команда SOC Prime
10 квітня 2026 року

Можливі спроби зв’язку з доменами для визначення IP (через dns)

Команда SOC Prime
10 квітня 2026 року

Можливе проникнення/вивантаження даних/C2 через сторонні сервіси/інструменти (через dns)

Команда SOC Prime
10 квітня 2026 року

Підозрілі двійкові файли/скрипти в місці автозапуску (через file_event)

Команда SOC Prime
10 квітня 2026 року

LOLBAS WScript / CScript (через process_creation)

Команда SOC Prime
10 квітня 2026 року

Можливі точки збереження [ASEPs – Реєстр/NTUSER Hive] (через подію реєстру)

Команда SOC Prime
10 квітня 2026 року

Індикатори компрометації (HashSha256) для виявлення: Цей вебсайт підтримки Windows поширює шкідливе програмне забезпечення для крадіжки паролів

AI Правила SOC Prime
10 квітня 2026 року

Підозрілі мережеві з’єднання, пов’язані з шкідливим ПЗ для крадіжки паролів [Windows Network Connection]

AI Правила SOC Prime
10 квітня 2026 року

Фальшивий сайт підтримки Windows поширює шкідливе програмне забезпечення для крадіжки паролів [Створення процесу Windows]

AI Правила SOC Prime
10 квітня 2026 року

Збереження в реєстрі через фальшивий запис Windows Security Health Entry [Подія реєстру Windows]

AI Правила SOC Prime
10 квітня 2026 року

Виконання симуляції

Попередня умова: Перевірка телеметрії та базових даних повинна пройти.

Обґрунтування: Цей розділ детально описує точне виконання техніки противника (TTP), призначеної для ініціювання правила виявлення. Команди та наратив ПОВИННІ безпосередньо відображати ідентифіковані TTP і мати на меті створення саме тієї телеметрії, яку очікує логіка виявлення.

  • Опис атаки та команди:
    Противник отримав точку входу на робочій станції користувача і бажає підтримувати присутність під час перезапусків, уникаючи випадкової перевірки. Вони скидають шкідливе завантаження під назвою WindowsUpdate.exe у папку AppData користувача, а потім створіть ключ Run‑під назвою SecurityHealth , що вказує на це завантаження, навмисно імітуючи законну службу «Windows Security Health». Оскільки правило спостерігає саме цей шлях до ключа, ця активність повинна бути позначена.

    powershell
    # 1. Перемістіть шкідливе завантаження (імітовано безпечним текстовим файлом для тестування)
    $payloadPath = "$env:APPDATAMicrosoftWindowsUpdateWindowsUpdate.exe"
    New-Item -ItemType Directory -Path (Split-Path $payloadPath) -Force | Out-Null
    Set-Content -Path $payloadPath -Value "Це фіктивний шкідливий виконуваний файл для тестування." -Encoding ASCII
    
    # 2. Створіть шкідливий ключ Run, що маскується під SecurityHealth
    $runKey = 'HKCU:SOFTWAREMicrosoftWindowsCurrentVersionRun'
    New-ItemProperty -Path $runKey -Name 'SecurityHealth' -Value $payloadPath -PropertyType String -Force
    
  • Сценарій регресійного тестування:

    powershell
    # -------------------------------------------------
    # Регресійне тестування – Маскування збереження в Регістрі
    # -------------------------------------------------
    # Призначення: Відтворити саме ту телеметрію, яку очікує правило Sigma.
    # Працює на Windows 10/11 з правами адміністратора.
    
    # Визначте місцезнаходження завантаження
    $payload = "$env:APPDATAMicrosoftWindowsUpdateWindowsUpdate.exe"
    
    # Переконайтесь, що директорія існує
    if (-not (Test-Path (Split-Path $payload))) {
        New-Item -ItemType Directory -Path (Split-Path $payload) -Force | Out-Null
    }
    
    # Створіть фіктивний виконуваний файл (в реальному тестуванні це буде шкідлива двійкова програма)
    Set-Content -Path $payload -Value "MALICIOUS_BINARY_PLACEHOLDER" -Encoding ASCII
    
    # Зареєструйте ключ Run з маскованою назвою
    $runKeyPath = 'HKCU:SOFTWAREMicrosoftWindowsCurrentVersionRun'
    New-ItemProperty -Path $runKeyPath -Name 'SecurityHealth' -Value $payload -PropertyType String -Force
    
    Write-Host "Шкідливий ключ Run створено. Очікуйте тривоги виявлення незабаром."
    # -------------------------------------------------
    
  • Команди очищення:

    powershell
    # Видаліть шкідливий ключ Run
    Remove-ItemProperty -Path 'HKCU:SOFTWAREMicrosoftWindowsCurrentVersionRun' -Name 'SecurityHealth' -ErrorAction SilentlyContinue
    
    # Видаліть фіктивний файл завантаження і його папку
    $payloadDir = Split-Path "$env:APPDATAMicrosoftWindowsUpdateWindowsUpdate.exe"
    Remove-Item -Path $payloadDir -Recurse -Force -ErrorAction SilentlyContinue
    
    Write-Host "Очищення завершено."