Вредоносный код прячется там, где его меньше всего ожидают.
В ходе расследования кампании FLUX#CONSOLE специалисты компании Securonixобнаружили новые подходы к распространению вредоносного ПО, в основе которых лежит использование фишинговых писем с налоговой тематикой и злоупотребление файлами MSC (Microsoft Common Console Document). Эти файлы, маскирующиеся под PDF-документы, служат для загрузки и запуска скрытых вредоносных DLL-библиотек.
Фишинговые атаки начинаются с загрузки вложений или перехода по ссылкам из писем. Одним из примеров стал документ «Income-Tax-Deduction-and-Rebates202441712.pdf», якобы связанный с налогами в Пакистане. Хотя сам PDF безопасен, он отвлекает пользователя, в то время как MSC-файл выполняет скрытую загрузку вредоносного ПО.
Вредоносные файлы MSC используют легитимный интерфейс MMC (Microsoft Management Console) для выполнения встроенных скриптов. Это позволяет злоумышленникам обойти антивирусные системы. Обнаруженный файл выполнял загрузку библиотеки «DismCore.dll» через подмену пути к системной утилите «DISM.exe», обеспечивая запуск вредоносного кода.
Кампания также включает сложные методы маскировки. Например, код в файлах MSC скрывает своё присутствие через обфускацию JavaScript и использование скрытых задач в планировщике Windows. Одним из методов является использование элементов интерфейса, которые остаются невидимыми для пользователя.
Эксперты отмечают, что подобные атаки трудно обнаружить из-за низкого уровня детектирования антивирусами. Так, MSC-файл имел всего три положительных срабатывания из 62 на VirusTotal. Устойчивость атаки обеспечивается её многоуровневой структурой: если один способ загрузки не срабатывает, используется резервный.
Кампания FLUX#CONSOLE была нацелена на пользователей в Пакистане, что подтверждается содержанием приманок и их наименованием. Несмотря на это, признаки использования MSC-файлов указывают на возможное расширение угрозы и за пределы региона.
Для защиты рекомендуется избегать загрузки подозрительных файлов и вложений, усилить мониторинг процессов «mmc.exe» и активности в общедоступных каталогах. Кроме того, важно использовать системы журналирования, такие как Sysmon, для отслеживания подозрительных операций.