SOC Prime Bias: Середній

29 May 2026 07:02 UTC

Фейкові «Secure Mail» приманки доставляють шкідливі файли, маскуючись під кредитні компанії

Author Photo
SOC Prime Team linkedin icon Стежити
Фейкові «Secure Mail» приманки доставляють шкідливі файли, маскуючись під кредитні компанії
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

AhnLab виявив фішингову кампанію, що поширює шкідливі файли LNK, замасковані під повідомлення про безпечну пошту від великого корейського постачальника кредитних карток. При відкритті цей ярлик запускає HTA через mshta.exe і PowerShell, завантажуючи підключені наповнювачі, які змінюються в залежності від того, чи увімкнено Windows Defender. Якщо Defender активний, зловмисники використовують curl для отримання зашифрованих файлів, які згодом розпаковуються та виконуються. Якщо Defender вимкнено, ланцюг змінюється на пряме завантаження DLL і додаткову діяльність завантажувача. Результуюче шкідливе ПЗ підтримує крадіжку інформації, запис натискань клавіш, збирання даних з буфера обміну та функціональні можливості бекдору.

Розслідування

Розслідування показало, що початковий файл LNK запускає mshta.exe, що виконує HTA, який містить обфускацію VBScript. Цей HTA завантажує pipe.zip, який містить скрипти кодування Base64 з назвами 1.log, 1.ps1, і 2.log, всі з яких декодуються та виконуються в пам’яті. Коли Defender не активний, шкідливе ПЗ натомість завантажує user.txt and sys.log, розшифровує sys.log у sys.dll, і виконує його через rundll32. Аналіз розшифрованого user.txt виявив три URL-адреси Google Drive, використані для завантаження додаткових шкідливих файлів, у тому числі notepad.log, net, і app, які зберігаються під %LOCALAPPDATA%.

Міри захисту

Рекомендовані заходи захисту включають перевірку легітимності вкладень електронної пошти, попередження автоматичного виконання файлів LNK і моніторинг підозрілого використання mshta.exe and curl. Служби безпеки також повинні шукати та видаляти файли, такі як 1.log, 1.ps1, 2.log, notepad.log, net, і app з %TEMP% and %LOCALAPPDATA%. Крім того, захисники повинні перевірити систему на наявність несподіваних змін у реєстрі та забезпечити включення і належну конфігурацію Windows Defender або іншої платформи захисту кінцевих точок.

Реакція

Якщо виявлено цю активність, негайно ізолюйте уражену систему, припиніть будь-які mshta.exe, curl, або rundll32 процеси, що виконують невідомі файли, і зберігайте шкідливі артефакти для криміналістичного огляду. Виконайте повне сканування системи, скиньте будь-які потенційно розкриті облікові дані та контролюйте подальшу активність бекдору, пов’язану з notepad.log. Вміст виявлення також повинен бути оновлений з використаними індикаторами компрометації, і засоби безпеки електронної пошти повинні бути посилені для блокування подібних фішингістських заманювальних заходів у майбутньому.

Потік атаки

Виконання симуляції

Умова: Телеметрія та перевірка базової лінії повинна бути пройдена.

  • Сценарій атаки та команди:
    Супротивник отримав доступ до кінцевої точки та бажає виконати довільний код, ухиляючись від традиційного контролю додатків. Вони створюють шкідливий файл HTA, що містить обфускацію VBScript, яка, коли відображається, записує резервний варіант PowerShell на диск. Щоб запустити HTA, вони використовують ярлик Windows (.lnk), який викликає powershell.exe з командою, яка викликає mshta.exe. Виконання ярлика ініціює PowerShell → mshta ланцюг, створюючи точну телеметрію, за якою правило стежить.

  • Сценарій регресійного тестування:

    # -------------------------------------------------
    # 1. Створити шкідливий HTA з обфускацією VBScript
    # -------------------------------------------------
    $htaPath = "$env:TEMPevil.hta"
    $vbscript = @"
    <script language='VBScript'>
    ' Шкідливий вантаж VBScript (приклад: записувати файл)
    Dim fso, f
    Set fso = CreateObject("Scripting.FileSystemObject")
    Set f = fso.CreateTextFile("C:WindowsTemppwned.txt", True)
    f.WriteLine "Compromised by ATT&CK"
    f.Close
    </script>
    "@
    Set-Content -Path $htaPath -Value $vbscript -Encoding ASCII
    
    # -------------------------------------------------
    # 2. Створити ярлик (.lnk), що запускає PowerShell → mshta
    # -------------------------------------------------
    $lnkPath = "$env:TEMPlaunch_malicious.lnk"
    $ws = New-Object -ComObject WScript.Shell
    $shortcut = $ws.CreateShortcut($lnkPath)
    
    # Команда PowerShell, що запускає mshta з файлом HTA
    $psCommand = "mshta.exe `"$htaPath`""
    $shortcut.TargetPath = "C:WindowsSystem32WindowsPowerShellv1.0powershell.exe"
    $shortcut.Arguments = "-NoProfile -WindowStyle Hidden -Command `"$psCommand`""
    $shortcut.Save()
    
    # -------------------------------------------------
    # 3. Виконати ярлик для ініціювання виявлення
    # -------------------------------------------------
    Write-Host "Виконання шкідливого ярлика..."
    & $lnkPath
    
    # -------------------------------------------------
    # 4. Пауза для збору журналів
    # -------------------------------------------------
    Start-Sleep -Seconds 10
  • Команди очистки:

    # Видалити створені артефакти
    Remove-Item -Path "$env:TEMPevil.hta" -Force -ErrorAction SilentlyContinue
    Remove-Item -Path "$env:TEMPlaunch_malicious.lnk" -Force -ErrorAction SilentlyContinue
    Remove-Item -Path "C:WindowsTemppwned.txt" -Force -ErrorAction SilentlyContinue
    Write-Host "Прибирання завершено."