Фальшиве завантаження Slack надає атакувальникам прихований доступ до вашого комп’ютера

SOC Prime Team

Стежити

Фальшиве завантаження Slack надає атакувальникам прихований доступ до вашого комп’ютера

Detection stack

AIDR
Alert
ETL
Query

Звіт про загрози
Потік атаки
Виявлення
Симуляції

Резюме

Шкідливий інсталятор, замаскований під Slack, поширюється через сайти з помилками в назві, щоб обдурити нічого не підозрюючих користувачів. Після запуску встановлює легітимний додаток Slack разом із прихованим завантажувачем, що підключається до сервера командування і управління, отримує зашифроване навантаження HVNC і вбудовує його в explorer.exe. Після цього шкідливий код створює невидиму сесію робочого столу, яка дозволяє зловмисникам переглядати, взаємодіяти та виконувати дії на зламаній машині без відома жертви. Такий підхід особливо небезпечний у середовищах, де бренд Slack користується великою довірою з боку як окремих осіб, так і корпоративних користувачів.

Розслідування

Дослідники розпакували інсталятор і виявили два тимчасові файли: slack.tmp, що містив легітимний пакет оновлення Squirrel, і svc.tmp, який слугував шкідливим завантажувачем. Аналіз показав, що завантажувач забезпечив постійність через ключ реєстру Run, динамічно викликав API Windows під час виконання, завантажував зашифрований DLL, зберігав його як wmiprvse_*.tmp, та використовував ін’єкцію на основі секцій, щоб завантажити його у explorer.exe. Розслідувачі також зафіксували вихідне з’єднання із сервером командування і управління через TCP порт 8081. Були присутні додаткові логіки протианалізу, в тому числі виявлення відладчика та перевірка часу піщаних тестувань.

Зменшення ризиків

Користувачі повинні завантажувати Slack тільки з офіційного slack.com веб-сайту або з надійних збережених посилань і перевіряти цифрові підписи перед запуском будь-якого інсталятора. Організації повинні включати захист у реальному часі, здатний блокувати відомі шкідливі домени та підозрілі виконувані файли. Захисники також повинні відстежувати несподіваний вихідний трафік через порт 8081, незвичні записи реєстру Run та ненормальні дочірні процеси, пов’язані з довіреними додатками. Виявлення на основі поведінки може допомогти виявити приховані сесії робочого столу та активність, пов’язану з HVNC, до того як зловмисники отримають повний інтерактивний доступ.

Відповідь

Якщо ця активність виявлена, ізолюйте уражений кінцевий пристрій від мережі негайно, завершити шкідливий завантажувач і будь-які процеси, пов’язані з HVNC, і видаліть механізм постійності з ключа реєстру Run. Повинно бути проведено повне сканування на шкідливе ПО, а всі пов’язані шкідливі домени та IP-адреси мають бути заблоковані по всьому середовищу. Будь-які облікові дані, що використовувалися на зламаній машині, мають бути скинуті з чистого пристрою, а команда безпеки повинна зібрати судово-медичні артефакти для підтримки подальшого розслідування та визначення обсягу.

graph TB %% Class Definitions Section classDef technique fill:#ffcc99 classDef artifact fill:#c2f0c2 classDef process fill:#f9d5e5 classDef tool fill:#d9d9d9 classDef malware fill:#ffd699 site_typosquat[“Артефакт – Підроблений (typosquatted) сайт URL: slacks.pro або debtclean-ua.sbs”] class site_typosquat artifact download_exe[“Артефакт – slacku20114u201149u201181.exe Шкідливий виконуваний файл, завантажений із підробленого сайту”] class download_exe artifact run_registry[“Артефакт – Ключ автозапуску реєстру HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\com.squirrel.slack.slack”] class run_registry artifact hvnc_dll[“Артефакт – Зашифрована HVNC DLL, збережена у кастомній секції PE”] class hvnc_dll artifact c2_server[“Артефакт – Сервер командування та управління Порт 8081 через WinHTTP”] class c2_server artifact explorer_proc[“Процес – explorer.exe (оболонка Windows)”] class explorer_proc process loader[“Шкідливе ПЗ – Компонент завантажувача, відповідальний за дешифрування, зв’язок із C2 та інжекцію”] class loader malware mavinject[“Інструмент – Mavinject (системне виконання через проксі)”) class mavinject tool initial_access[“Техніка – T1204.001 Виконання користувачем: Шкідливе посилання Опис: Жертва переходить за посиланням, яке веде на шкідливий сайт і автоматично завантажує шкідливе ПЗ”] class initial_access technique execution_file[“Техніка – T1204.002 Виконання користувачем: Шкідливий файл Опис: Жертва запускає завантажений файл”] class execution_file technique persistence_active_setup[“Техніка – T1547.014 Автозапуск при завантаженні або вході: Active Setup Опис: Інсталятор створює запис автозапуску в реєстрі для закріплення”] class persistence_active_setup technique obfuscation[“Техніка – T1027 Обфусковані файли або інформація Опис: Завантажувач шифрує payload, додає padding, використовує кастомні PE секції та резолвить API під час виконання”] class obfuscation technique embedded_payload[“Підтехніка – T1027.009 Вбудований payload”] class embedded_payload technique binary_padding[“Підтехніка – T1027.001 Заповнення бінарника”] class binary_padding technique compile_after_delivery[“Підтехніка – T1027.004 Компіляція після доставки”] class compile_after_delivery technique stripped_payload[“Підтехніка – T1027.008 Очищений payload”] class stripped_payload technique c2_communication[“Техніка – T1071.001 Вебпротоколи (WinHTTP) Опис: Завантажувач зв’язується з C2 через TCP 8081 використовуючи WinHTTP”] class c2_communication technique reflective_loading[“Техніка – T1620 Рефлективне завантаження коду Опис: HVNC DLL розшифровується в пам’яті та завантажується рефлективно”] class reflective_loading technique process_injection[“Техніка – T1055.002 Інжекція Portable Executable Опис: DLL інжектується в explorer.exe через секції”] class process_injection technique system_binary_proxy[“Техніка – T1218.013 Системне проксі-виконання: Mavinject Опис: Mavinject використовується для інжекції шкідливої DLL”] class system_binary_proxy technique site_typosquat –>|розміщує шкідливу сторінку| initial_access initial_access –>|завантажує| download_exe download_exe –>|запускається користувачем| execution_file execution_file –>|створює персистентність через| persistence_active_setup persistence_active_setup –>|створює| run_registry run_registry –>|завантажує| loader loader –>|застосовує| obfuscation obfuscation –>|використовує| embedded_payload obfuscation –>|використовує| binary_padding obfuscation –>|використовує| compile_after_delivery obfuscation –>|використовує| stripped_payload loader –>|підключається до| c2_server c2_server –>|активує| c2_communication loader –>|розшифровує та завантажує| hvnc_dll hvnc_dll –>|завантажується через| reflective_loading reflective_loading –>|інжектує в| explorer_proc explorer_proc –>|ціль| process_injection process_injection –>|використовує| mavinject mavinject –>|виконує| system_binary_proxy

Потік атаки

Опис атаки та команди:
1. Початковий доступ – Зловмисник доставляє троянізований інсталятор з назвою slack-4-49-81.exe через фішинговий електронний лист.
2. Виконання – Жертва запускає файл; він витягує прихований завантажувач svc.tmp to TEMP%.
3. Створення прихованого робочого столу (T1564.003) – svc.tmp викликає CreateProcess з SW_HIDE, виконуючи приховану сесію робочого столу з інструментом дистанційного доступу.
4. Постійність (T1547.013 & T1546.016) – Завантажувач реєструє COM-сервер, який автостартує за допомогою встановленого в папці автозапуску ярлика, забезпечуючи виконання під час перезавантаження.
5. Можливе встановлення руткіту (T1014) – Якщо надано підвищення прав, svc.tmp викладає драйвер руткіту у SystemRoot%System32driversmaldrv.sys.

Скрипт для регресійного тесту: Скрипт повторює кроки 2–4 із нешкідливими бінарними файлами (копії notepad.exe) з збереженням точних імен файлів, за якими здійснюється нагляд.

# -------------------------------------------------
# Регресійний тест – Симуляція фальшивого інсталятора Slack
# -------------------------------------------------
# 1. Підготуйте фальшиві бінарні файли (використовуйте безпечний notepad.exe)
$temp = $env:TEMP
$installer = Join-Path $temp "slack-4-49-81.exe"
$loader = Join-Path $temp "svc.tmp"

Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $installer -Force
Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $loader -Force

# 2. Виконайте інсталятор – це запустить правило виявлення
Write-Host "[*] Запуск фальшивого інсталятора ..."
Start-Process -FilePath $installer -WindowStyle Hidden -PassThru | Out-Null

# 3. Імітуйте створення прихованого робочого столу (завантажувач)
Write-Host "[*] Запуск прихованого завантажувача ..."
Start-Process -FilePath $loader -WindowStyle Hidden -PassThru | Out-Null

# 4. Створіть ярлик у папці автозапуску для імітації постійності
$startup = "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartup"
$shortcutPath = Join-Path $startup "Slack Hidden.lnk"

$shell = New-Object -ComObject WScript.Shell
$shortcut = $shell.CreateShortcut($shortcutPath)
$shortcut.TargetPath = $loader
$shortcut.WindowStyle = 7 # Прихований
$shortcut.Save()

Write-Host "[+] Симуляцію завершено. Перевірте SIEM на події з образом, що закінчується на 'slack-4-49-81.exe' або 'svc.tmp'."

Команди очищення: Видаліть тестові артефакти та створені ярлики.

# Скрипт очистки – виконуйте з тим самим контекстом користувача
$temp = $env:TEMP
Remove-Item -Path (Join-Path $temp "slack-4-49-81.exe") -ErrorAction SilentlyContinue
Remove-Item -Path (Join-Path $temp "svc.tmp") -ErrorAction SilentlyContinue

$shortcutPath = "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartupSlack Hidden.lnk"
Remove-Item -Path $shortcutPath -ErrorAction SilentlyContinue

Write-Host "[+] Очистка завершена."

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам розпочати та отримати негайну цінність, забронюйте зустріч зараз з експертами SOC Prime.

Приєднатися безкоштовно