Универсальный троян: Хакеры изобрели вредоносное ПО, способное адаптироваться к любым антивирусным системам

«Kaspersky», Avast, Avira — названия защитных решений теряют значение, когда вредоносное ПО изначально умеет работать против каждого из них.

Хакерская группировка Transparent Tribe запустила очередную серию кибершпионских операций, направленных против государственных ведомств, научных центров и других критически важных организаций на территории Индии. В рамках кампании злоумышленники применяют обновлённую версию трояна удалённого доступа (RAT), предназначенного для долговременного присутствия в заражённых системах.

Аналитики Cyfirma сообщают, что атака начинается с рассылки фишинговых писем. Во вложении находится архив, содержащий ярлык Windows, внешне имитирующий PDF-документ. При открытии такого файла запускается HTA-скрипт через стандартную утилиту mshta.exe. Скрипт расшифровывает вредоносный код и загружает его непосредственно в оперативную память, одновременно отображая поддельный PDF-файл, чтобы не вызвать подозрений у пользователя.

Во время выполнения вредоносная логика активно взаимодействует с операционной системой с помощью компонентов ActiveX. Это позволяет получить сведения о конфигурации компьютера и динамически менять поведение программы в зависимости от обнаруженной среды, повышая вероятность успешного выполнения атаки.

Отдельного внимания заслуживает механизм закрепления. Троян анализирует установленное антивирусное ПО и подбирает способ сохранения в системе под конкретный продукт. Например, при обнаружении решений «Лаборатории Касперского» создаётся скрытый каталог, куда помещается зашифрованный файл, запускаемый через ярлык в автозагрузке. Если используется Quick Heal, формируется bat-файл, повторно вызывающий HTA-скрипт. В системах с Avast, AVG или Avira вредоносный файл копируется напрямую в папку автозапуска. При отсутствии антивирусной защиты применяется комбинация сценариев и изменений в реестре Windows.

Основная полезная нагрузка представлена библиотекой iinneldc.dll. Она отвечает за шпионские функции: удалённое управление устройством, работу с файловой системой, сбор данных, создание скриншотов и выполнение команд через командную строку.

Кроме описанной кампании, Transparent Tribe связывают с ещё одной атакой, в которой применялся ярлык, замаскированный под официальный правительственный документ. Файл с именем «NCERT-Whatsapp-Advisory.pdf.lnk» инициировал загрузку установщика с ресурса, связанного с доменом aeroclubofindia[.]co[.]in. После запуска на устройство записывались вредоносные библиотеки и исполняемый файл, стартующий с задержкой. Устойчивость обеспечивалась VBScript-сценарием, вносящим изменения в реестр для автоматического запуска при каждой загрузке системы.

Примечательно, что отображаемый пользователю PDF-файл действительно являлся официальным уведомлением, опубликованным в Пакистане в 2024 году. В нём содержалось предупреждение о распространении вредоносных файлов через WhatsApp, что повышало уровень доверия к вложению и вероятность его открытия.

Одна из установленных библиотек отвечает за связь с командным сервером, доменное имя которого было зарегистрировано весной 2025 года. Несмотря на то что сервер в настоящее время неактивен, механизмы автозагрузки позволяют злоумышленникам в любой момент восстановить контроль над заражёнными системами.

Связь с управляющим сервером осуществляется через HTTP GET-запросы, используемые для регистрации устройства, передачи сигналов активности и получения инструкций. Для обхода сигнатурного анализа данные в URL шифруются путём обратного порядка символов. Дополнительно модуль проверяет наличие антивирусных решений, расширяя возможности сбора информации и адаптации под конкретное окружение.

В результате Transparent Tribe продолжает демонстрировать высокий уровень устойчивости и системный подход к кибершпионажу, сосредотачиваясь на разведывательной деятельности против индийских государственных и научных организаций.