Антивирусы признали свое поражение перед гениальностью создателей SquidLoader
NewsMakerХакеры создали Терминатора среди вирусов который самоуничтожается при малейшей угрозе разоблачения.
Свежая версия вредоносной программы SquidLoader была обнаружена в ходе целевой атаки на учреждения в Гонконге, вызвав серьёзную тревогу в финансовом секторе. Особую опасность представляет почти полное отсутствие обнаружения со стороны антивирусных решений, что делает её практически невидимой для традиционных систем защиты.
Вредоносная кампания начинается с фишинговых писем на китайском языке, стилизованных под деловую финансовую переписку. В письмах содержатся зашифрованные RAR-архивы с паролем, внутри которых скрыт исполняемый файл, замаскированный под документ Word или под безобидный системный компонент AMDRSServ.exe. При запуске SquidLoader копирует себя в директорию C:\Users\Public с новым именем setup_xitgutx.exe и модифицирует функцию __scrt_common_main_seh в прологе CRT, позволяя запуск вредоносной логики до старта основного кода программы.
Анализ показал многоступенчатую структуру заражения. На первом этапе происходит распаковка: закодированные байты проходят дешифровку с помощью простого алгоритма — побайтовое применение XOR с ключом 0xF4 и прибавление значения 19. Это позволяет вывести на свет следующий этап вредоносного кода.
На втором этапе SquidLoader применяет обход стандартных методов анализа — с помощью PEB walking загружает нужные API из библиотек ntdll.dll и kernel32.dll, стирая следы вызовов путём перезаписи имён. Указатели и служебные данные размещаются в неиспользуемой области PEB для быстрого доступа, а сложная система условных переходов затрудняет декомпиляцию и статический анализ.
Далее задействуется набор средств уклонения от песочниц и отладки. Проверяются имена пользователей, наличие специфических отладочных инструментов (например, OllyDbg, IDA Pro, x64dbg) и активность антивирусов , таких как Windows Defender. Также используются редкие системные вызовы, например NtQueryInformationProcess с номером 0x1e, для обнаружения отладчиков, и NtQuerySystemInformation (0x23) — для фиксации активности отладки на уровне ядра. При выявлении подозрительных признаков процесс немедленно завершает свою работу.
Отдельного внимания заслуживает необычный способ обхода эмуляторов. Вредоносный код создаёт поток, который «засыпает» на 16 минут, после чего через механизм очереди APC и функцию NtWaitForSingleObject проверяет, был ли выполнен ожидаемый фрагмент кода. Эмуляторы и песочницы, как правило, не моделируют такой сценарий точно, что также приводит к самоуничтожению программы.
В арсенале средств маскировки также используются динамическая обфускация строк, проверка наличия Microsoft Emulator через NtIsProcessInJob и специальное окно с сообщением на китайском языке о якобы повреждённом файле, требующее действий пользователя — это блокирует автоматический анализ в системах без GUI.
После прохождения всех этапов уклонения SquidLoader устанавливает соединение с управляющим сервером, маскируя сетевой трафик под обращения к Kubernetes API. Сервер получает системную информацию: IP-адрес, имя пользователя, версию операционной системы, PID и статус администратора. Затем в память загружается и исполняется shell-код Cobalt Strike Beacon, обеспечивая удалённый доступ и последующее подключение к дополнительным управляющим точкам.
Отмечены аналогичные образцы вредоносного ПО, ориентированные на цели в Сингапуре, Китае и Австралии. Все они используют схожую маскировку под Kubernetes, что свидетельствует о координированной глобальной кампании. Фишинговые письма с вложениями, датированные 31 марта 2025 года, использовали архивы с паролем «20250331» и тему регистрации облигаций, что подчёркивает эффективность методов социальной инженерии.
Сочетание почти полного отсутствия детектирования, технически сложной реализации и адаптации под локальные условия делает SquidLoader одной из наиболее опасных угроз для финансовых организаций. Повышение уровня поведенческого мониторинга и отслеживание признаков компрометации становится критически важной задачей.
Свежая версия вредоносной программы SquidLoader была обнаружена в ходе целевой атаки на учреждения в Гонконге, вызвав серьёзную тревогу в финансовом секторе. Особую опасность представляет почти полное отсутствие обнаружения со стороны антивирусных решений, что делает её практически невидимой для традиционных систем защиты.
Вредоносная кампания начинается с фишинговых писем на китайском языке, стилизованных под деловую финансовую переписку. В письмах содержатся зашифрованные RAR-архивы с паролем, внутри которых скрыт исполняемый файл, замаскированный под документ Word или под безобидный системный компонент AMDRSServ.exe. При запуске SquidLoader копирует себя в директорию C:\Users\Public с новым именем setup_xitgutx.exe и модифицирует функцию __scrt_common_main_seh в прологе CRT, позволяя запуск вредоносной логики до старта основного кода программы.
Анализ показал многоступенчатую структуру заражения. На первом этапе происходит распаковка: закодированные байты проходят дешифровку с помощью простого алгоритма — побайтовое применение XOR с ключом 0xF4 и прибавление значения 19. Это позволяет вывести на свет следующий этап вредоносного кода.
На втором этапе SquidLoader применяет обход стандартных методов анализа — с помощью PEB walking загружает нужные API из библиотек ntdll.dll и kernel32.dll, стирая следы вызовов путём перезаписи имён. Указатели и служебные данные размещаются в неиспользуемой области PEB для быстрого доступа, а сложная система условных переходов затрудняет декомпиляцию и статический анализ.
Далее задействуется набор средств уклонения от песочниц и отладки. Проверяются имена пользователей, наличие специфических отладочных инструментов (например, OllyDbg, IDA Pro, x64dbg) и активность антивирусов , таких как Windows Defender. Также используются редкие системные вызовы, например NtQueryInformationProcess с номером 0x1e, для обнаружения отладчиков, и NtQuerySystemInformation (0x23) — для фиксации активности отладки на уровне ядра. При выявлении подозрительных признаков процесс немедленно завершает свою работу.
Отдельного внимания заслуживает необычный способ обхода эмуляторов. Вредоносный код создаёт поток, который «засыпает» на 16 минут, после чего через механизм очереди APC и функцию NtWaitForSingleObject проверяет, был ли выполнен ожидаемый фрагмент кода. Эмуляторы и песочницы, как правило, не моделируют такой сценарий точно, что также приводит к самоуничтожению программы.
В арсенале средств маскировки также используются динамическая обфускация строк, проверка наличия Microsoft Emulator через NtIsProcessInJob и специальное окно с сообщением на китайском языке о якобы повреждённом файле, требующее действий пользователя — это блокирует автоматический анализ в системах без GUI.
После прохождения всех этапов уклонения SquidLoader устанавливает соединение с управляющим сервером, маскируя сетевой трафик под обращения к Kubernetes API. Сервер получает системную информацию: IP-адрес, имя пользователя, версию операционной системы, PID и статус администратора. Затем в память загружается и исполняется shell-код Cobalt Strike Beacon, обеспечивая удалённый доступ и последующее подключение к дополнительным управляющим точкам.
Отмечены аналогичные образцы вредоносного ПО, ориентированные на цели в Сингапуре, Китае и Австралии. Все они используют схожую маскировку под Kubernetes, что свидетельствует о координированной глобальной кампании. Фишинговые письма с вложениями, датированные 31 марта 2025 года, использовали архивы с паролем «20250331» и тему регистрации облигаций, что подчёркивает эффективность методов социальной инженерии.
Сочетание почти полного отсутствия детектирования, технически сложной реализации и адаптации под локальные условия делает SquidLoader одной из наиболее опасных угроз для финансовых организаций. Повышение уровня поведенческого мониторинга и отслеживание признаков компрометации становится критически важной задачей.