Підроблений сайт підтримки Windows поширює шкідливе програмне забезпечення для крадіжки паролів
Стежити 
Detection stack
- AIDR
- Alert
- ETL
- Query
Резюме
Вебсайт з помилковою адресою, що імітує Microsoft Support, поширює фальшиве оновлення Windows MSI. Після встановлення MSI розгортає додаток на основі Electron, який запускає VBS завантажувач, активує перейменований інтерпретатор Python і завантажує модулі для крадіжки облікових даних. Викрадені дані передаються через Render, Cloudflare Workers і GoFile, у той час як збереження відбувається за допомогою значення реєстру Run та ярлика в папці автозапуску. Діяльність орієнтована на користувачів, які говорять французькою мовою.
Розслідування
Дослідники отримали WindowsUpdate 1.0.0.msi і підтвердили, що він установлює обгортку Electron (WindowsUpdate.exe) і VBS завантажувач (AppLauncher.vbs). Потім процес Electron запускає прихований інтерпретатор Python (_winhost.exe), який імпортує бібліотеки для крадіжки інформації, щоб зібрати облікові дані браузера, токени Discord і платіжні дані. Телеметрія мережі показує початковий профіль хоста на www.myexternalip.com і ip-api.com, після чого відбувається C2 трафік до datawebsync-lvmv.onrender.com і sync-service.system-telemetry.workers.dev, а ексфільтрацію спостерігають на store8.gofile.io. Збереження забезпечується шляхом створення значення SecurityHealth під HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun і розміщенням ярлика Spotify.lnk у папці автозапуску користувача.
Пом’якшення
Видаліть значення SecurityHealth з розділу Run і видаліть Spotify.lnk з папки автозапуску користувача. Видаліть папку WindowsUpdate у AppDataLocalPrograms і видаліть тимчасову папку WinGettools. Скиньте збережені паролі, увімкніть MFA/2FA і виконайте повне сканування за допомогою оновлених антивірусних засобів.
Відповідь
Якщо спрацьовують попередження про підозрілу MSI, виконання VBS або створення ключа Run, ізолюйте хост, зберіть дані, що швидко зникають, і проведіть судово-медичну експертизу важливих шляхів AppData. Заблокуйте виявлені C2 домени і відстежуйте трафік для перерахованих сервіків рекон. Видаліть артефакти збереження і зміцніть безпечні робочі процеси оновлення, щоб запобігти повторному виконанню.
graph TB classDef action fill:#99ccff classDef process fill:#ffcc99 classDef persistence fill:#c2f0c2 classDef collection fill:#ffd580 classDef credential fill:#ffb3ba classDef defense fill:#d9d9d9 classDef c2 fill:#ffeb99 classDef exfil fill:#c2c2f0 action_user_click[“Дія – фішинг: користувач натискає шкідливе посилання”] class action_user_click action process_msiexec[“Процес – запуск MSI через msiexec”] class process_msiexec process process_vbs[“Процес – виконання VBScript”] class process_vbs process process_electron[“Процес – замаскований Electron застосунок”] class process_electron process process_python[“Процес – замаскований Python процес”] class process_python process persistence_registry[“Постійність – ключі Run у реєстрі”] class persistence_registry persistence persistence_shortcut[“Постійність – автозапуск через ярлик”] class persistence_shortcut persistence collection_ip[“Збір – IP адреси”] class collection_ip collection credential_browser[“Крадіжка – паролі браузера”] class credential_browser credential credential_discord[“Крадіжка – Discord токени”] class credential_discord credential defense_terminate[“Ухилення – завершення процесів захисту”] class defense_terminate defense defense_obfuscation[“Ухилення – обфускований JavaScript”] class defense_obfuscation defense c2_communicate[“C2 – HTTP зв’язок”] class c2_communicate c2 exfil_cloud[“Вивантаження – у хмарне сховище”] class exfil_cloud exfil action_user_click –> process_msiexec process_msiexec –> process_vbs process_vbs –> process_electron process_electron –> process_python process_python –> persistence_registry process_python –> persistence_shortcut process_python –> collection_ip process_python –> credential_browser process_python –> credential_discord process_python –> defense_terminate process_python –> defense_obfuscation defense_obfuscation –> c2_communicate c2_communicate –> exfil_cloud
Потік Атаки
Виявлення
Можливе проникнення/вивантаження даних/C2 через сторонні сервіси/інструменти (через проксі)
Переглянути
Можливі спроби зв’язку з доменами для визначення IP (через dns)
Переглянути
Можливе проникнення/вивантаження даних/C2 через сторонні сервіси/інструменти (через dns)
Переглянути
Підозрілі двійкові файли/скрипти в місці автозапуску (через file_event)
Переглянути
LOLBAS WScript / CScript (через process_creation)
Переглянути
Можливі точки збереження [ASEPs – Реєстр/NTUSER Hive] (через подію реєстру)
Переглянути
Індикатори компрометації (HashSha256) для виявлення: Цей вебсайт підтримки Windows поширює шкідливе програмне забезпечення для крадіжки паролів
Переглянути
Підозрілі мережеві з’єднання, пов’язані з шкідливим ПЗ для крадіжки паролів [Windows Network Connection]
Переглянути
Фальшивий сайт підтримки Windows поширює шкідливе програмне забезпечення для крадіжки паролів [Створення процесу Windows]
Переглянути
Збереження в реєстрі через фальшивий запис Windows Security Health Entry [Подія реєстру Windows]
Переглянути
Виконання симуляції
Попередня умова: Перевірка телеметрії та базових даних повинна пройти.
Обґрунтування: Цей розділ детально описує точне виконання техніки противника (TTP), призначеної для ініціювання правила виявлення. Команди та наратив ПОВИННІ безпосередньо відображати ідентифіковані TTP і мати на меті створення саме тієї телеметрії, яку очікує логіка виявлення.
-
Опис атаки та команди:
Противник отримав точку входу на робочій станції користувача і бажає підтримувати присутність під час перезапусків, уникаючи випадкової перевірки. Вони скидають шкідливе завантаження під назвою WindowsUpdate.exe у папку AppData користувача, а потім створіть ключ Run‑під назвою SecurityHealth , що вказує на це завантаження, навмисно імітуючи законну службу «Windows Security Health». Оскільки правило спостерігає саме цей шлях до ключа, ця активність повинна бути позначена.powershell # 1. Перемістіть шкідливе завантаження (імітовано безпечним текстовим файлом для тестування) $payloadPath = "$env:APPDATAMicrosoftWindowsUpdateWindowsUpdate.exe" New-Item -ItemType Directory -Path (Split-Path $payloadPath) -Force | Out-Null Set-Content -Path $payloadPath -Value "Це фіктивний шкідливий виконуваний файл для тестування." -Encoding ASCII # 2. Створіть шкідливий ключ Run, що маскується під SecurityHealth $runKey = 'HKCU:SOFTWAREMicrosoftWindowsCurrentVersionRun' New-ItemProperty -Path $runKey -Name 'SecurityHealth' -Value $payloadPath -PropertyType String -Force -
Сценарій регресійного тестування:
powershell # ------------------------------------------------- # Регресійне тестування – Маскування збереження в Регістрі # ------------------------------------------------- # Призначення: Відтворити саме ту телеметрію, яку очікує правило Sigma. # Працює на Windows 10/11 з правами адміністратора. # Визначте місцезнаходження завантаження $payload = "$env:APPDATAMicrosoftWindowsUpdateWindowsUpdate.exe" # Переконайтесь, що директорія існує if (-not (Test-Path (Split-Path $payload))) { New-Item -ItemType Directory -Path (Split-Path $payload) -Force | Out-Null } # Створіть фіктивний виконуваний файл (в реальному тестуванні це буде шкідлива двійкова програма) Set-Content -Path $payload -Value "MALICIOUS_BINARY_PLACEHOLDER" -Encoding ASCII # Зареєструйте ключ Run з маскованою назвою $runKeyPath = 'HKCU:SOFTWAREMicrosoftWindowsCurrentVersionRun' New-ItemProperty -Path $runKeyPath -Name 'SecurityHealth' -Value $payload -PropertyType String -Force Write-Host "Шкідливий ключ Run створено. Очікуйте тривоги виявлення незабаром." # ------------------------------------------------- -
Команди очищення:
powershell # Видаліть шкідливий ключ Run Remove-ItemProperty -Path 'HKCU:SOFTWAREMicrosoftWindowsCurrentVersionRun' -Name 'SecurityHealth' -ErrorAction SilentlyContinue # Видаліть фіктивний файл завантаження і його папку $payloadDir = Split-Path "$env:APPDATAMicrosoftWindowsUpdateWindowsUpdate.exe" Remove-Item -Path $payloadDir -Recurse -Force -ErrorAction SilentlyContinue Write-Host "Очищення завершено."