Підроблений сайт підтримки Windows поширює шкідливе програмне забезпечення для крадіжки паролів
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Вебсайт з помилковою адресою, що імітує Microsoft Support, поширює фальшиве оновлення Windows MSI. Після встановлення MSI розгортає додаток на основі Electron, який запускає VBS завантажувач, активує перейменований інтерпретатор Python і завантажує модулі для крадіжки облікових даних. Викрадені дані передаються через Render, Cloudflare Workers і GoFile, у той час як збереження відбувається за допомогою значення реєстру Run та ярлика в папці автозапуску. Діяльність орієнтована на користувачів, які говорять французькою мовою.
Розслідування
Дослідники отримали WindowsUpdate 1.0.0.msi і підтвердили, що він установлює обгортку Electron (WindowsUpdate.exe) і VBS завантажувач (AppLauncher.vbs). Потім процес Electron запускає прихований інтерпретатор Python (_winhost.exe), який імпортує бібліотеки для крадіжки інформації, щоб зібрати облікові дані браузера, токени Discord і платіжні дані. Телеметрія мережі показує початковий профіль хоста на www.myexternalip.com і ip-api.com, після чого відбувається C2 трафік до datawebsync-lvmv.onrender.com і sync-service.system-telemetry.workers.dev, а ексфільтрацію спостерігають на store8.gofile.io. Збереження забезпечується шляхом створення значення SecurityHealth під HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun і розміщенням ярлика Spotify.lnk у папці автозапуску користувача.
Пом’якшення
Видаліть значення SecurityHealth з розділу Run і видаліть Spotify.lnk з папки автозапуску користувача. Видаліть папку WindowsUpdate у AppDataLocalPrograms і видаліть тимчасову папку WinGettools. Скиньте збережені паролі, увімкніть MFA/2FA і виконайте повне сканування за допомогою оновлених антивірусних засобів.
Відповідь
Якщо спрацьовують попередження про підозрілу MSI, виконання VBS або створення ключа Run, ізолюйте хост, зберіть дані, що швидко зникають, і проведіть судово-медичну експертизу важливих шляхів AppData. Заблокуйте виявлені C2 домени і відстежуйте трафік для перерахованих сервіків рекон. Видаліть артефакти збереження і зміцніть безпечні робочі процеси оновлення, щоб запобігти повторному виконанню.
Потік Атаки
Виявлення
Можливе проникнення/вивантаження даних/C2 через сторонні сервіси/інструменти (через проксі)
Переглянути
Можливі спроби зв’язку з доменами для визначення IP (через dns)
Переглянути
Можливе проникнення/вивантаження даних/C2 через сторонні сервіси/інструменти (через dns)
Переглянути
Підозрілі двійкові файли/скрипти в місці автозапуску (через file_event)
Переглянути
LOLBAS WScript / CScript (через process_creation)
Переглянути
Можливі точки збереження [ASEPs – Реєстр/NTUSER Hive] (через подію реєстру)
Переглянути
Індикатори компрометації (HashSha256) для виявлення: Цей вебсайт підтримки Windows поширює шкідливе програмне забезпечення для крадіжки паролів
Переглянути
Підозрілі мережеві з’єднання, пов’язані з шкідливим ПЗ для крадіжки паролів [Windows Network Connection]
Переглянути
Фальшивий сайт підтримки Windows поширює шкідливе програмне забезпечення для крадіжки паролів [Створення процесу Windows]
Переглянути
Збереження в реєстрі через фальшивий запис Windows Security Health Entry [Подія реєстру Windows]
Переглянути
Виконання симуляції
Попередня умова: Перевірка телеметрії та базових даних повинна пройти.
Обґрунтування: Цей розділ детально описує точне виконання техніки противника (TTP), призначеної для ініціювання правила виявлення. Команди та наратив ПОВИННІ безпосередньо відображати ідентифіковані TTP і мати на меті створення саме тієї телеметрії, яку очікує логіка виявлення.
-
Опис атаки та команди:
Противник отримав точку входу на робочій станції користувача і бажає підтримувати присутність під час перезапусків, уникаючи випадкової перевірки. Вони скидають шкідливе завантаження під назвою WindowsUpdate.exe у папку AppData користувача, а потім створіть ключ Run‑під назвою SecurityHealth , що вказує на це завантаження, навмисно імітуючи законну службу «Windows Security Health». Оскільки правило спостерігає саме цей шлях до ключа, ця активність повинна бути позначена.powershell # 1. Перемістіть шкідливе завантаження (імітовано безпечним текстовим файлом для тестування) $payloadPath = "$env:APPDATAMicrosoftWindowsUpdateWindowsUpdate.exe" New-Item -ItemType Directory -Path (Split-Path $payloadPath) -Force | Out-Null Set-Content -Path $payloadPath -Value "Це фіктивний шкідливий виконуваний файл для тестування." -Encoding ASCII # 2. Створіть шкідливий ключ Run, що маскується під SecurityHealth $runKey = 'HKCU:SOFTWAREMicrosoftWindowsCurrentVersionRun' New-ItemProperty -Path $runKey -Name 'SecurityHealth' -Value $payloadPath -PropertyType String -Force -
Сценарій регресійного тестування:
powershell # ------------------------------------------------- # Регресійне тестування – Маскування збереження в Регістрі # ------------------------------------------------- # Призначення: Відтворити саме ту телеметрію, яку очікує правило Sigma. # Працює на Windows 10/11 з правами адміністратора. # Визначте місцезнаходження завантаження $payload = "$env:APPDATAMicrosoftWindowsUpdateWindowsUpdate.exe" # Переконайтесь, що директорія існує if (-not (Test-Path (Split-Path $payload))) { New-Item -ItemType Directory -Path (Split-Path $payload) -Force | Out-Null } # Створіть фіктивний виконуваний файл (в реальному тестуванні це буде шкідлива двійкова програма) Set-Content -Path $payload -Value "MALICIOUS_BINARY_PLACEHOLDER" -Encoding ASCII # Зареєструйте ключ Run з маскованою назвою $runKeyPath = 'HKCU:SOFTWAREMicrosoftWindowsCurrentVersionRun' New-ItemProperty -Path $runKeyPath -Name 'SecurityHealth' -Value $payload -PropertyType String -Force Write-Host "Шкідливий ключ Run створено. Очікуйте тривоги виявлення незабаром." # ------------------------------------------------- -
Команди очищення:
powershell # Видаліть шкідливий ключ Run Remove-ItemProperty -Path 'HKCU:SOFTWAREMicrosoftWindowsCurrentVersionRun' -Name 'SecurityHealth' -ErrorAction SilentlyContinue # Видаліть фіктивний файл завантаження і його папку $payloadDir = Split-Path "$env:APPDATAMicrosoftWindowsUpdateWindowsUpdate.exe" Remove-Item -Path $payloadDir -Recurse -Force -ErrorAction SilentlyContinue Write-Host "Очищення завершено."