SOC Prime Bias: Середній

17 Apr 2026 15:20 UTC

Фальшиве завантаження Slack надає атакувальникам прихований доступ до вашого комп’ютера

Author Photo
SOC Prime Team linkedin icon Стежити
Фальшиве завантаження Slack надає атакувальникам прихований доступ до вашого комп’ютера
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

Шкідливий інсталятор, замаскований під Slack, поширюється через сайти з помилками в назві, щоб обдурити нічого не підозрюючих користувачів. Після запуску встановлює легітимний додаток Slack разом із прихованим завантажувачем, що підключається до сервера командування і управління, отримує зашифроване навантаження HVNC і вбудовує його в explorer.exe. Після цього шкідливий код створює невидиму сесію робочого столу, яка дозволяє зловмисникам переглядати, взаємодіяти та виконувати дії на зламаній машині без відома жертви. Такий підхід особливо небезпечний у середовищах, де бренд Slack користується великою довірою з боку як окремих осіб, так і корпоративних користувачів.

Розслідування

Дослідники розпакували інсталятор і виявили два тимчасові файли: slack.tmp, що містив легітимний пакет оновлення Squirrel, і svc.tmp, який слугував шкідливим завантажувачем. Аналіз показав, що завантажувач забезпечив постійність через ключ реєстру Run, динамічно викликав API Windows під час виконання, завантажував зашифрований DLL, зберігав його як wmiprvse_*.tmp, та використовував ін’єкцію на основі секцій, щоб завантажити його у explorer.exe. Розслідувачі також зафіксували вихідне з’єднання із сервером командування і управління через TCP порт 8081. Були присутні додаткові логіки протианалізу, в тому числі виявлення відладчика та перевірка часу піщаних тестувань.

Зменшення ризиків

Користувачі повинні завантажувати Slack тільки з офіційного slack.com веб-сайту або з надійних збережених посилань і перевіряти цифрові підписи перед запуском будь-якого інсталятора. Організації повинні включати захист у реальному часі, здатний блокувати відомі шкідливі домени та підозрілі виконувані файли. Захисники також повинні відстежувати несподіваний вихідний трафік через порт 8081, незвичні записи реєстру Run та ненормальні дочірні процеси, пов’язані з довіреними додатками. Виявлення на основі поведінки може допомогти виявити приховані сесії робочого столу та активність, пов’язану з HVNC, до того як зловмисники отримають повний інтерактивний доступ.

Відповідь

Якщо ця активність виявлена, ізолюйте уражений кінцевий пристрій від мережі негайно, завершити шкідливий завантажувач і будь-які процеси, пов’язані з HVNC, і видаліть механізм постійності з ключа реєстру Run. Повинно бути проведено повне сканування на шкідливе ПО, а всі пов’язані шкідливі домени та IP-адреси мають бути заблоковані по всьому середовищу. Будь-які облікові дані, що використовувалися на зламаній машині, мають бути скинуті з чистого пристрою, а команда безпеки повинна зібрати судово-медичні артефакти для підтримки подальшого розслідування та визначення обсягу.

Потік атаки

Виявлення

Можливо, був створений альтернатива даних потік (ADS) (через file_event)

Команда SOC Prime
17 квітня 2026

Можливі точки збереження [ASEPs – реєстровий файл NTUSER] (через registry_event)

Команда SOC Prime
17 квітня 2026

Індикатори компрометації (HashSha256) для виявлення: Фальшивий завантажувач Slack надає зловмисникам прихований робочий стіл на вашій машині

Правила AI SOC Prime
17 квітня 2026

Індикатори компрометації (SourceIP) для виявлення: Фальшивий завантажувач Slack надає зловмисникам прихований робочий стіл на вашій машині

Правила AI SOC Prime
17 квітня 2026

Індикатори компрометації (DestinationIP) для виявлення: Фальшивий завантажувач Slack надає зловмисникам прихований робочий стіл на вашій машині

Правила AI SOC Prime
17 квітня 2026

Виявлення ін’єкції на основі секцій у Explorer.exe [Windows Sysmon]

Правила AI SOC Prime
17 квітня 2026

Фальшивий інсталятор Slack створює сховану сесію робочого столу [створення процесу Windows]

Правила AI SOC Prime
17 квітня 2026

Імітаційне виконання

Передумова: Перевірка телеметрії та базових показників повинна бути успішно пройдена.

Аргументація: Цей розділ описує точне виконання техніки супротивника (TTP), призначеної для запуску правила виявлення. Команди та наратив ПОВИННІ безпосередньо відображати ідентифіковані TTP та прагнути до генерації точно запланованої телеметрії, яка очікується логікою виявлення.

  • Опис атаки та команди:

    1. Початковий доступ – Зловмисник доставляє троянізований інсталятор з назвою slack-4-49-81.exe через фішинговий електронний лист.
    2. Виконання – Жертва запускає файл; він витягує прихований завантажувач svc.tmp to TEMP%.
    3. Створення прихованого робочого столу (T1564.003)svc.tmp викликає CreateProcess з SW_HIDE, виконуючи приховану сесію робочого столу з інструментом дистанційного доступу.
    4. Постійність (T1547.013 & T1546.016) – Завантажувач реєструє COM-сервер, який автостартує за допомогою встановленого в папці автозапуску ярлика, забезпечуючи виконання під час перезавантаження.
    5. Можливе встановлення руткіту (T1014) – Якщо надано підвищення прав, svc.tmp викладає драйвер руткіту у SystemRoot%System32driversmaldrv.sys.
  • Скрипт для регресійного тесту: Скрипт повторює кроки 2–4 із нешкідливими бінарними файлами (копії notepad.exe) з збереженням точних імен файлів, за якими здійснюється нагляд.

    # -------------------------------------------------
    # Регресійний тест – Симуляція фальшивого інсталятора Slack
    # -------------------------------------------------
    # 1. Підготуйте фальшиві бінарні файли (використовуйте безпечний notepad.exe)
    $temp = $env:TEMP
    $installer = Join-Path $temp "slack-4-49-81.exe"
    $loader = Join-Path $temp "svc.tmp"
    
    Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $installer -Force
    Copy-Item -Path "$env:SystemRootSystem32notepad.exe" -Destination $loader -Force
    
    # 2. Виконайте інсталятор – це запустить правило виявлення
    Write-Host "[*] Запуск фальшивого інсталятора ..."
    Start-Process -FilePath $installer -WindowStyle Hidden -PassThru | Out-Null
    
    # 3. Імітуйте створення прихованого робочого столу (завантажувач)
    Write-Host "[*] Запуск прихованого завантажувача ..."
    Start-Process -FilePath $loader -WindowStyle Hidden -PassThru | Out-Null
    
    # 4. Створіть ярлик у папці автозапуску для імітації постійності
    $startup = "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartup"
    $shortcutPath = Join-Path $startup "Slack Hidden.lnk"
    
    $shell = New-Object -ComObject WScript.Shell
    $shortcut = $shell.CreateShortcut($shortcutPath)
    $shortcut.TargetPath = $loader
    $shortcut.WindowStyle = 7 # Прихований
    $shortcut.Save()
    
    Write-Host "[+] Симуляцію завершено. Перевірте SIEM на події з образом, що закінчується на 'slack-4-49-81.exe' або 'svc.tmp'."
  • Команди очищення: Видаліть тестові артефакти та створені ярлики.

    # Скрипт очистки – виконуйте з тим самим контекстом користувача
    $temp = $env:TEMP
    Remove-Item -Path (Join-Path $temp "slack-4-49-81.exe") -ErrorAction SilentlyContinue
    Remove-Item -Path (Join-Path $temp "svc.tmp") -ErrorAction SilentlyContinue
    
    $shortcutPath = "$env:APPDATAMicrosoftWindowsStart MenuProgramsStartupSlack Hidden.lnk"
    Remove-Item -Path $shortcutPath -ErrorAction SilentlyContinue
    
    Write-Host "[+] Очистка завершена."