tasani.ruГруппа хакеров разработала новую вредоносную программу, получившую название SquidLoader, которая представляет серьезную угрозу для финансовых организаций. Особую опасность вызывает практически полное отсутствие обнаружения со стороны традиционных антивирусных решений, что делает ее практически невидимой для систем защиты.
Кампания начинается с фишинговых писем на китайском языке, стилизованных под деловую финансовую переписку. В письмах содержатся зашифрованные RAR-архивы с паролем, внутри которых скрыт исполняемый файл, замаскированный под документ Word или безобидный системный компонент. При запуске SquidLoader копирует себя в директорию C:\Users\Public с новым именем и модифицирует функцию в прологе CRT, позволяя запуск вредоносной логики до старта основного кода программы.
Анализ показал многоступенчатую структуру заражения. На первом этапе происходит распаковка и дешифровка вредоносного кода. Далее SquidLoader применяет обход стандартных методов анализа, используя PEB walking для загрузки необходимых API из библиотек, а также сложную систему условных переходов, затрудняющую декомпиляцию и статический анализ.
Особое внимание уделяется средствам уклонения от песочниц и отладки. Проверяется наличие специфических отладочных инструментов и активность антивирусов, а при выявлении подозрительных признаков процесс немедленно завершает свою работу. Кроме того, используется необычный способ обхода эмуляторов, создавая поток, который �f7007;засыпает�f816d; на 16 минут, что, как правило, не моделируется эмуляторами и песочницами.
После прохождения всех этапов уклонения SquidLoader устанавливает соединение с управляющим сервером, маскируя сетевой трафик под обращения к Kubernetes API. Затем в память загружается и исполняется shell-код Cobalt Strike Beacon, обеспечивая удаленный доступ и подключение к дополнительным управляющим точкам.
Сочетание почти полного отсутствия детектирования, технически сложной реализации и адаптации под локальные условия делает SquidLoader одной из наиболее опасных угроз для финансовых организаций. Повышение уровня поведенческого мониторинга и отслеживание признаков компрометации становится критически важной задачей.
