ChimeraWire: новый троян, который имитирует поведение пользователей для раскрутки сайтов

Специалисты компании «Доктор Веб» обнаружили на Windows-компьютерах новое вредоносное ПО с функциональностью кликера — Trojan.ChimeraWire. В отличие от классических ботов, он не просто «жмет» ссылки по скрипту, а максимально имитирует поведение живого человека в браузере.

ChimeraWire основан на проектах с открытым исходным кодом zlsgo и Rod, предназначенных для автоматизированного управления веб-сайтами и веб-приложениями. Вредоносу это дает мощный инструмент для скриптинга браузера, управления вкладками, формами и навигацией без прямого вмешательства пользователя.

Основная задача ChimeraWire на текущем этапе — накрутка поведенческих факторов сайтов. Троян ищет целевые ресурсы в Google и Bing, открывает их через Google Chrome и имитирует клики по страницам, повышая позиции таких сайтов в поисковой выдаче.

Как ChimeraWire помогает накручивать сайты

После запуска Trojan.ChimeraWire загружает с внешнего ресурса архив chrome-win.zip с «упакованной» версией браузера Google Chrome для Windows. На том же сайте хранятся и другие сборки Chrome — для Linux, macOS и разных аппаратных платформ, что потенциально облегчает портирование схемы под другие ОС.

Затем троян пытается незаметно установить в загруженный браузер расширения NopeCHA и Buster, предназначенные для автоматического решения CAPTCHA. Это позволяет боту обходить базовые антибот-механизмы на сайтах и в поисковых системах.

Chrome запускается в режиме отладки без видимого окна. Управление осуществляется через WebSocket-подключение к порту, открытому DevTools-интерфейсом браузера. Таким образом, вся вредоносная активность скрыта от пользователя и не отображается на экране.

Следующий шаг — получение заданий с C2-сервера. В ответ на запрос от трояна сервер возвращает base64-строку с конфигурацией в формате JSON, зашифрованной алгоритмом AES-GCM. В конфигурации задаются:

• целевая поисковая система (Google или Bing);
• ключевые фразы для поиска сайтов и условия их последующего открытия;
• лимит последовательных переходов (depth/chain кликов);
• случайные распределения количества кликов по ссылкам;
• таймауты ожидания загрузки страниц;
• список целевых доменов и дополнительные параметры сессий (паузы между ними и др.).

За счет тонкой настройки этих параметров злоумышленники могут подстраивать поведение бота под конкретные рекламные кампании, SEO-задачи или другие схемы накрутки.

Имитация человеческого поведения в поиске и на сайтах

Выполняя задание, Trojan.ChimeraWire сначала обращается к заданной поисковой системе, используя ключевые фразы и домены, указанные в конфигурации. Далее он:

• открывает найденные сайты из поисковой выдачи;
• сканирует HTML-код страниц и находит все элементы с гиперссылками;
• формирует из них массив и перемешивает его, чтобы последовательность ссылок отличалась от расположения на странице (это помогает обходить логику антибот-детектов, учитывающих порядок кликов);
• фильтрует ссылки по заданным шаблонам и считает число совпадений.

Если подходящих ссылок достаточно, троян сортирует их по релевантности (степени соответствия ключевым словам) и кликает по одной или нескольким. Если совпадений мало или нет вообще, включается вероятностная модель поведения, призванная выглядеть максимально «по-человечески».

Например, распределение ["1:90", "2:10"] означает, что троян с вероятностью 90% кликнет по одной ссылке и с вероятностью 10% — по двум. При этом выбор конкретных ссылок происходит случайным образом из ранее собранного и перемешанного списка. После каждого перехода ChimeraWire может вернуться на вкладку с поиском, перейти к следующему результату или продолжить углубленную навигацию по текущему сайту — до тех пор, пока не будет исчерпан лимит кликов из задания.

На практике это приводит к тому, что в логах поведения пользователей такие сессии выглядят как действия живых людей: поиск, переходы по релевантным ссылкам, небольшая глубина просмотра, паузы между сессиями и т. д. Для систем веб-аналитики и поведенческих факторов такой трафик «очень похож» на реальный.

Цепочки заражения: сложная доставка ради скрытности

Сам Trojan.ChimeraWire — последняя стадия в довольно сложной цепочке заражения. Исследователи «Доктор Веб» описывают по меньшей мере две такие цепочки, в которых участвуют несколько загрузчиков, скриптов и DLL-библиотек.

Первая цепочка: Python.Downloader.208 и OneDrivePatcher

В первом сценарии стартовой точкой является троян Trojan.DownLoader48.54600. Он проверяет признаки виртуальной среды или отладки и прекращает работу при их обнаружении. Если всё в порядке, с C2-сервера скачивается архив python3.zip, содержащий:

• скрипт Python.Downloader.208;
• вспомогательную DLL-библиотеку Trojan.Starter.8377 (ISCSIEXE.dll);
• другие файлы, необходимые для запуска Python-окружения.

Схема, иллюстрирующая первую цепочку заражения

Python.Downloader.208 при запуске пытается получить права администратора. Для эскалации привилегий он использует уязвимость класса DLL Search Order Hijacking: в директорию %SystemRoot%\SysWOW64 запускается легитимное приложение iscsicpl.exe, которое вместо оригинальной библиотеки подгружает внедренную ISCSIEXE.dll с вредоносным кодом.

После успешного повышения привилегий скрипт загружает новый защищенный архив onedrive.zip с еще одной троянской библиотекой Trojan.DownLoader48.54318 (UpdateRingSettings.dll) и легитимным приложением OneDrivePatcher.exe. Через аналогичную уязвимость загрузки DLL эта библиотека получает управление, вытягивает дальнейшую полезную нагрузку, декодирует и распаковывает ZLIB-контейнер, а затем передает управление финальному исполняемому файлу — ChimeraWire.

Вторая цепочка: модификация ATL.dll и PowerShell-скрипты

Во второй цепочке стартовым компонентом выступает Trojan.DownLoader48.61444. Он маскируется под explorer.exe (техника Masquerade PEB), получает права администратора через уязвимые COM-интерфейсы (CMSTPLUA), а затем:

• модифицирует копию системной библиотеки ATL.dll, внедряя в нее расшифрованный байткод;
• копирует измененную версию в каталог %SystemRoot%\System32\wbem под тем же именем;
• запускает консольную оснастку WmiMgmt.msc, что приводит к загрузке подмененной ATL.dll через DLL Search Order Hijacking в mmc.exe;
• повторно стартует Trojan.DownLoader48.61444 уже с повышенными привилегиями.

Схема работы Trojan.DownLoader48.61444 при отсутствии прав администратора

Далее троян с правами администратора выполняет несколько PowerShell-скриптов, скачивающих ZIP-архивы one.zip и two.zip. В них содержатся те же компоненты, что и в первой цепочке: OneDrivePatcher.exe и UpdateRingSettings.dll (Trojan.DownLoader48.54318), а также Python.Downloader.208 под видом update.py и переименованный интерпретатор Python (Guardian.exe).

Схема работы Trojan.DownLoader48.61444 с правами администратора

Для обоих архивов создаются задачи автозапуска в планировщике заданий Windows, после чего запускаются соответствующие приложения. В результате обе цепочки сходятся к одной цели — доставке и исполнению Trojan.ChimeraWire с максимальной скрытностью и устойчивостью к сбоям.

Происхождение названия ChimeraWire

Исследователи «Доктор Веб» объясняют название трояна сочетанием двух смыслов:

• «chimera» — мифическое существо, собранное из частей разных животных. В контексте вредоноса это отсылка к гибридному характеру атаки: используются загрузчики на разных языках (Python, DLL на C/C++ и др.), антиотладочные техники и несколько механизмов повышения привилегий;
• «wire» — невидимый «провод», по которому идет управление сетевым трафиком. ChimeraWire объединяет в себе сторонние фреймворки, плагины и легальное ПО (тот же Chrome), через которые выполняется управление посещением сайтов и кликами.

Потенциальные сценарии использования

Сейчас основная зафиксированная функциональность ChimeraWire — накрутка поведенческих сигналов: клики в поисковой выдаче, переходы по ссылкам, имитация просмотра страниц. Однако стек используемых технологий допускает гораздо более широкий спектр задач. В частности, троян потенциально может:

• массово заполнять веб-формы (опросы, рекламные анкеты, формы регистрации);
• собирать содержимое веб-страниц для последующей обработки;
• создавать скриншоты страниц для мониторинга изменений или кибершпионажа;
• автоматически наполнять базы данных (например, контактами, e-mail-адресами, телефонами и т. п.).

Учитывая, что троян опирается на мощные автоматизационные фреймворки и легитимный браузер, неудивительно, что исследователи допускают появление новых версий ChimeraWire с расширенным набором функций.

MITRE ATT&CK и техники, используемые ChimeraWire

«Доктор Веб» сопоставил поведение ChimeraWire и задействованных загрузчиков с матрицей MITRE ATT&CK. Среди используемых техник:

• Выполнение (Execution): запуск вредоносных файлов и DLL, использование PowerShell, командной оболочки Windows, Visual Basic, Python, задач планировщика (T1204, T1059, T1053);
• Закрепление (Persistence): автозапуск через ключи реестра и задания планировщика (T1547.001, T1053);
• Повышение привилегий (Privilege Escalation): перехват поиска DLL (DLL Search Order Hijacking, T1574.001), обход UAC (T1548.002);
• Уклонение от обнаружения (Defense Evasion): шифрование и кодирование файлов, антиотладочные техники, скрытые окна, исключения для путей и файлов, деобфускация и повторный перехват DLL (T1027.013, T1622, T1564, T1140, T1574.001);
• Организация управления (Command and Control): двусторонняя связь с C2-сервером по веб-протоколам (T1102.002, T1071.001).

Индикаторы компрометации и дополнительные технические детали доступны в репозитории «Доктор Веб» на GitHub: Trojan.ChimeraWire — IoC.

Выводы и рекомендации

ChimeraWire показывает, как современные злоумышленники комбинируют легальные инструменты автоматизации браузера, открытый код и многослойные цепочки загрузчиков, чтобы построить максимально «человеко-подобного» бота. Пока его основная задача — накрутка популярности и поведенческого фактора сайтов, но технический фундамент легко масштабируется до более опасных сценариев.

Администраторам и специалистам по ИБ стоит:

• контролировать запуск сторонних интерпретаторов (Python, PowerShell) и аномальные процессы Chrome в режиме отладки;
• отслеживать подозрительные задания в планировщике Windows, особенно связанные с OneDrivePatcher.exe, Guardian.exe и нестандартными DLL в системных каталогах;
• использовать актуальные антивирусные решения и регулярно проверять системы на наличие троянов семейств Trojan.DownLoader48, Python.Downloader и Trojan.Starter;
• мониторить аномальный трафик к поисковым системам и всплески «чрезмерно идеального» поведенческого трафика на собственных веб-ресурсах.

Специалисты «Доктор Веб» продолжают отслеживать развитие семейства ChimeraWire и связанных с ним загрузчиков. По мере появления новых версий трояна можно ожидать расширения его возможностей и появления новых схем злоупотребления автоматизированной «человеческой» активностью в интернете.

PDF-версия исследования «Доктор Веб»