- Специальный корреспондент
Хакеры заставят вас собственноручно добавить их в исключения антивируса.
Специалисты eSentire об обнаружении новой -сети под названием NightshadeC2, которая использует нестандартные методы для обхода защиты и песочниц. Вредонос распространяется через поддельные версии легитимных программ — таких как CCleaner, ExpressVPN, Advanced IP Scanner и Everything — а также через схему ClickFix, где жертве предлагают ввести команду в окно «Выполнить» после прохождения фальшивой капчи.
Главная особенность NightshadeC2 — приём, названный специалистами «бомбардировка UAC» (UAC Prompt Bombing). Загрузчик запускает , который пытается добавить вредонос в список исключений Windows Defender. Если пользователь отказывается подтвердить действие через системный запрос UAC, окно появляется снова и снова, мешая пользоваться компьютером до тех пор, пока пользователь не согласится. Этот метод также эффективно мешает запуску вредоноса в песочницах: если служба Defender отключена, скрипт зависает в цикле, и полезная нагрузка не исполняется. Это позволяет обходить такие среды анализа, как Any.Run, CAPEv2 и Joe Sandbox.
Основная вредоносная нагрузка NightshadeC2 написана на языке C, но обнаружены и упрощённые Python-версии, предположительно сгенерированные при помощи ИИ. C-вариант использует порты 7777, 33336, 33337 и 443, а Python — порт 80. Заражённый файл, замаскированный под updater.exe, после запуска собирает информацию о системе и внешнем IP, использует шифрование RC4 для связи с командным сервером и устанавливает устойчивость в системе через ключи реестра Winlogon, RunOnce и Active Setup.
NightshadeC2 обладает широким набором функций, позволяющим злоумышленникам полностью контролировать заражённую систему. Вредонос обеспечивает удалённый доступ через , запуская скрытые сессии PowerShell или командной строки, умеет загружать и выполнять дополнительные файлы в формате DLL или EXE, а также при необходимости удаляет себя с устройства.
NightshadeC2 поддерживает полноценное дистанционное управление, включая создание скриншотов и эмуляцию действий пользователя, а также может запускать скрытые браузеры — Chrome, Edge, Firefox и Brave — на отдельном рабочем столе. Кроме того, NightshadeC2 фиксирует нажатия клавиш и изменения в буфере обмена, а также способен извлекать пароли и куки из установленных браузеров, работающих на движках Chromium и Gecko.
Данные пользователя сохраняются в скрытых файлах, названия которых зависят от уровня прав (например, JohniiDepp и LuchiiSvet). использует скрытое окно и стандартные WinAPI-хуки для захвата нажатий клавиш и содержимого буфера обмена. Злоумышленники могут управлять заражённой системой: копировать и вставлять текст, эмулировать ввод, запускать браузеры или системные окна на скрытом рабочем столе. Некоторые варианты NightshadeC2 получают адрес управляющего сервера прямо из профиля в Steam — это позволяет менять C2 без обновления самого вредоноса.
Также были выявлены два способа обхода контроля учётных записей . Один использует старую в RPC-сервере, другой — встроен в загрузчик и активируется на системах до Windows 11. Во втором случае используется связка из reg и schtasks, которая запускает вредонос с повышенными правами без участия пользователя и добавляет его в исключения Windows Defender.
Для защиты специалисты рекомендуют отключить окно "Выполнить" через GPO (раздел меню «Пуск и панель задач»), обучать сотрудников распознаванию фишинга и социальной инженерии, а также использовать современные EDR- или NGAV-решения, способные выявлять нестандартное поведение .
По словам исследователей, NightshadeC2 — это универсальный инструмент с возможностями бэкдора, шпионажа и скрытого контроля, а используемая техника UAC-бомбы — простой, но эффективный способ обхода как пользовательской защиты, так и автоматизированного анализа.
Специалисты eSentire об обнаружении новой -сети под названием NightshadeC2, которая использует нестандартные методы для обхода защиты и песочниц. Вредонос распространяется через поддельные версии легитимных программ — таких как CCleaner, ExpressVPN, Advanced IP Scanner и Everything — а также через схему ClickFix, где жертве предлагают ввести команду в окно «Выполнить» после прохождения фальшивой капчи.
Главная особенность NightshadeC2 — приём, названный специалистами «бомбардировка UAC» (UAC Prompt Bombing). Загрузчик запускает , который пытается добавить вредонос в список исключений Windows Defender. Если пользователь отказывается подтвердить действие через системный запрос UAC, окно появляется снова и снова, мешая пользоваться компьютером до тех пор, пока пользователь не согласится. Этот метод также эффективно мешает запуску вредоноса в песочницах: если служба Defender отключена, скрипт зависает в цикле, и полезная нагрузка не исполняется. Это позволяет обходить такие среды анализа, как Any.Run, CAPEv2 и Joe Sandbox.
Основная вредоносная нагрузка NightshadeC2 написана на языке C, но обнаружены и упрощённые Python-версии, предположительно сгенерированные при помощи ИИ. C-вариант использует порты 7777, 33336, 33337 и 443, а Python — порт 80. Заражённый файл, замаскированный под updater.exe, после запуска собирает информацию о системе и внешнем IP, использует шифрование RC4 для связи с командным сервером и устанавливает устойчивость в системе через ключи реестра Winlogon, RunOnce и Active Setup.
NightshadeC2 обладает широким набором функций, позволяющим злоумышленникам полностью контролировать заражённую систему. Вредонос обеспечивает удалённый доступ через , запуская скрытые сессии PowerShell или командной строки, умеет загружать и выполнять дополнительные файлы в формате DLL или EXE, а также при необходимости удаляет себя с устройства.
NightshadeC2 поддерживает полноценное дистанционное управление, включая создание скриншотов и эмуляцию действий пользователя, а также может запускать скрытые браузеры — Chrome, Edge, Firefox и Brave — на отдельном рабочем столе. Кроме того, NightshadeC2 фиксирует нажатия клавиш и изменения в буфере обмена, а также способен извлекать пароли и куки из установленных браузеров, работающих на движках Chromium и Gecko.
Данные пользователя сохраняются в скрытых файлах, названия которых зависят от уровня прав (например, JohniiDepp и LuchiiSvet). использует скрытое окно и стандартные WinAPI-хуки для захвата нажатий клавиш и содержимого буфера обмена. Злоумышленники могут управлять заражённой системой: копировать и вставлять текст, эмулировать ввод, запускать браузеры или системные окна на скрытом рабочем столе. Некоторые варианты NightshadeC2 получают адрес управляющего сервера прямо из профиля в Steam — это позволяет менять C2 без обновления самого вредоноса.
Также были выявлены два способа обхода контроля учётных записей . Один использует старую в RPC-сервере, другой — встроен в загрузчик и активируется на системах до Windows 11. Во втором случае используется связка из reg и schtasks, которая запускает вредонос с повышенными правами без участия пользователя и добавляет его в исключения Windows Defender.
Для защиты специалисты рекомендуют отключить окно "Выполнить" через GPO (раздел меню «Пуск и панель задач»), обучать сотрудников распознаванию фишинга и социальной инженерии, а также использовать современные EDR- или NGAV-решения, способные выявлять нестандартное поведение .
По словам исследователей, NightshadeC2 — это универсальный инструмент с возможностями бэкдора, шпионажа и скрытого контроля, а используемая техника UAC-бомбы — простой, но эффективный способ обхода как пользовательской защиты, так и автоматизированного анализа.
