Μια εξελιγμένη εκστρατεία κακόβουλου λογισμικού πολλαπλών σταδίων εμφανίστηκε, η οποία αναπτύσσει ασαφή αρχεία Visual Basic Script (VBS), φορτωτές ενσωματωμένους σε PNG και trojan απομακρυσμένης πρόσβασης (RAT) σε συστήματα στόχευσης χωρίς να αφήνει ίχνη στο δίσκο.
Αυτό που ξεκίνησε ως μια συνηθισμένη ανίχνευση τελικού σημείου στις αρχές του 2026 αποκαλύφθηκε γρήγορα ότι ήταν πολύ πιο οργανωμένο από μια ενιαία ευκαιριακή επίθεση, εκθέτοντας ένα επαναχρησιμοποιήσιμο πλαίσιο παράδοσης ικανό να προωθήσει διαφορετικά ωφέλιμα φορτία κακόβουλου λογισμικού σε ξεχωριστές αλυσίδες επίθεσης από μια κοινή υποδομή.
Το πρώτο σημάδι της καμπάνιας ήταν ένα ύποπτο αρχείο VBS με το όνομα Name_File.vbsπου βρέθηκε στο \Users\Public\Downloads\ κατάλογο ενός παραβιασμένου τελικού σημείου.
Η προστασία τελικού σημείου SentinelOne εντόπισε και έθεσε το αρχείο σε καραντίνα προτού μπορέσει να εκτελεστεί πλήρως. Ακόμα κι έτσι, το κωδικοποιημένο περιεχόμενο μέσα στο σενάριο δικαιολογούσε μια πιο προσεκτική ματιά.
Όταν αποκωδικοποιήθηκε, εξέθεσε ένα Base64-encoded Εντολή PowerShell με ενσωματωμένες εξωτερικές αναφορές δικτύου — ένα σαφές σήμα ότι το αρχείο σχεδιάστηκε για να τραβάει πρόσθετα στοιχεία από έναν απομακρυσμένο διακομιστή.
Οι αναλυτές του LevelBlue εντόπισαν ότι αυτή η ειδοποίηση μεμονωμένου τερματικού σημείου ήταν ένα παράθυρο σε μια πολύ μεγαλύτερη επιχείρηση.
Η έρευνα, που διεξήχθη από την ομάδα SpiderLabs Cyber Threat Intelligence του LevelBlue, αποκάλυψε έναν τομέα ελεγχόμενο από εισβολείς που φιλοξενούσε πολλά ασαφή αρχεία VBS, το καθένα συνδεδεμένο με διαφορετικό φορτίο κακόβουλου λογισμικού — συμπεριλαμβανομένων των παραλλαγών του XWorm και του Remcos RAT που είναι αποθηκευμένα ως αρχεία κειμένου.
Μια ξεχωριστή αλυσίδα μόλυνσης συνδεδεμένη με ένα ψεύτικο PDF ήταν επίσης ενεργή στην ίδια υποδομή, επιβεβαιώνοντας τη σκόπιμη, πολυδιανυσματική σχεδίαση της καμπάνιας.
Η υποδομή του εισβολέα επικεντρώθηκε σε ανοιχτά προσβάσιμους καταλόγους εντός του τομέα news4me[.]xyzσυμπεριλαμβανομένων /coupon/, /protector/και /invoice/.
Κάθε κατάλογος υπηρέτησε έναν ξεχωριστό ρόλο – σκηνοθετώντας εκτοξευτές VBS, φιλοξενώντας αρχεία ωφέλιμου φορτίου ή παρέχοντας εντελώς ξεχωριστούς φορείς μόλυνσης.
Αυτή η ρύθμιση ανοιχτού καταλόγου δεν ήταν τυχαία. επιτρέπει στον εισβολέα να ενημερώνει γρήγορα, να περιστρέφει ή να επεκτείνει τα φιλοξενούμενα ωφέλιμα φορτία χωρίς να τροποποιεί τη λογική παράδοσης του πυρήνα, δημιουργώντας ένα ευέλικτο, επεκτάσιμο σύστημα ικανό να παραμένει λειτουργικό ακόμη και μετά από μερική ανίχνευση.
Μέσα στον μηχανισμό μόλυνσης: Εκτέλεση VBS σε RAT στη μνήμη
Η μόλυνση ξεκινά με ένα αρχείο VBS που λειτουργεί καθαρά ως εκκινητής, χωρίς να φέρει κανέναν ενεργό κακόβουλο κώδικα.
.webp.jpeg)
Το σενάριο είναι θαμμένο κάτω από επίπεδα συσκότισης Unicode. Η απογύμνωση αυτών των χαρακτήρων εκθέτει το ακατέργαστο κωδικοποιημένο σενάριο σε μια εντολή PowerShell με κωδικοποίηση Base64 που χρησιμεύει ως η πραγματική μηχανή της επίθεσης.
.webp.png)
Αυτή η εντολή PowerShell λειτουργεί ως φορτωτής χωρίς αρχεία. Επιβάλλει το TLS 1.2 και χρησιμοποιεί το Net.WebClient τάξη για να ανακτήσετε ένα απομακρυσμένο αρχείο από μια διεύθυνση URL αρχείου Διαδικτύου.
.webp.png)
Αντί να τραβήξει ένα παραδοσιακό εκτελέσιμο αρχείο, κατεβάζει μια εικόνα PNG — MSI_PRO_with_b64.png. Το αρχείο φαίνεται συνηθισμένο, αλλά κρυμμένο μέσα του — μεταξύ προσαρμοσμένου BaseStart και BaseEnd μαρκαδόροι.
Αυτή η διάταξη, γνωστή ως PhantomVAI, φορτώνεται απευθείας στη μνήμη μέσω Reflection.Assembly::Loadπου εκτελείται εξ ολοκλήρου στη μνήμη RAM και παρακάμπτει τα περισσότερα στοιχεία ελέγχου ασφαλείας που βασίζονται σε αρχεία.
Μόλις εκτελεστεί, το PhantomVAI μεταβιβάζει δύο διευθύνσεις URL στη μέθοδο VAI για συνεχόμενη εκτέλεση. Το πρώτο, news4me[.]xyz/protector/johnremcos.txtπεριέχει ένα συγκεχυμένη συμβολοσειρά που αποκωδικοποιείται σε μια λειτουργική περίπτωση του Remcos RAT, δίνοντας στον εισβολέα επίμονη απομακρυσμένη πρόσβαση στο μηχάνημα.
Η δεύτερη διεύθυνση URL παραδίδεται uac.pngένα αρχείο PNG που φέρει ένα UAC Bypass DLL στην ίδια ενσωματωμένη μορφή — σχεδιασμένο για αθόρυβη κλιμάκωση των προνομίων. Μαζί, αυτά τα ωφέλιμα φορτία δίνουν στον εισβολέα τον πλήρη έλεγχο, ενώ ουσιαστικά δεν αφήνουν πίσω τους παραδοσιακά τεχνουργήματα αρχείων.
Οι οργανισμοί πρέπει να περιορίσουν .vbs και .bat εκτέλεση από καταλόγους που μπορούν να εγγραφούν από το χρήστη, όπως \Users\Public\ και επιβολή περιορισμένων πολιτικών PowerShell με καταγραφή εκτέλεσης στη μνήμη.
Σε επίπεδο δικτύου, αποκλεισμός συνδέσεων και φιλτραρίσματος που βασίζονται σε WebDAV .xyz Οι τομείς ανώτατου επιπέδου μπορούν να περιορίσουν την πρόσβαση στην υποδομή εισβολέα που προσδιορίζεται σε αυτήν την καμπάνια.
