Тормозит Windows? Возможно, на фоне уже работает шпионская программа

Эксперты компании Qualys выявили новую вредоносную кампанию, в которой злоумышленники используют PowerShell-скрипт для загрузки трояна удалённого доступа Remcos RAT. Вектор атаки начинается с рассылки ZIP-архивов, замаскированных под налоговую документацию. Внутри находятся LNK-файлы, выглядящие как ярлыки к документам Office, но на деле запускающие вредоносный код.

На первом этапе атаки используется встроенный компонент Windows — mshta.exe, предназначенный для выполнения HTML-приложений. С его помощью загружается файл xlab22.hta, содержащий VBScript. Этот скрипт инициирует загрузку PowerShell-команды, поддельного PDF-документа и второго HTA-файла — 311.hta, который встраивается в автозагрузку через изменения в реестре.

Далее PowerShell-скрипт распаковывает загрузчик шелл-кода, который в оперативной памяти активирует Remcos RAT — минуя жёсткий диск и, соответственно, большинство антивирусных решений. Этот троян обладает широкими возможностями слежки: от записи нажатий клавиш и создания скриншотов до мониторинга буфера обмена и процессов системы. Передача данных осуществляется через зашифрованное TLS-соединение с сервером readysteaurants[.]com.

Фраза «цифровая паранойя» всё больше становится новой нормой.

Кампания не уникальна — подобные методы уже описывались, например, в ноябре 2024 года специалисты Fortinet фиксировали аналогичную атаку, где заражение происходило исключительно в оперативной памяти после открытия вредоносного вложения, оформленного под тему доставки.

Аналитики Qualys подчёркивают, что использование PowerShell, LNK-файлов и утилиты mshta.exe свидетельствует о стремлении к точечным, труднообнаружимым атакам. Особенно подвержены угрозе компании, у которых не реализован контроль вложений и мониторинг PowerShell-команд в реальном времени.

Современные угрозы всё чаще опираются на стандартные системные утилиты, превращая легитимные компоненты Windows в инструменты доставки вредоносного ПО. Это подчёркивает необходимость комплексной защиты: от фильтрации вложений в почте и ограничения запуска скриптов, до постоянного аудита активности PowerShell и блокировки mshta.exe в корпоративных системах.


На нашем сайте вы можете приобрести программное обеспечение для защиты данных или проконсультироваться с нашими специалистами, что лучше подойдет под требования ИБ-отдела вашей организации.