ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Исследователи в области кибербезопасности предупредили об активной вредоносной кампании, направленной против работников в Чешской Республике с использованием ранее не зафиксированной бот-сети под названием PowMix, которая действует, по крайней мере, с декабря 2025 года.

«PowMix использует рандомизированные интервалы передачи сигналов управления (C2), а не постоянное соединение с сервером C2, чтобы избежать обнаружения по сетевым сигнатурам», — заявил исследователь Cisco Talos Четан Рагхупрасад в опубликованном сегодня отчете.

«PowMix встраивает зашифрованные данные пульса вместе с уникальными идентификаторами компьютера жертвы в URL-адреса C2, имитируя легитимные URL-адреса REST API. PowMix имеет возможность динамически удаленно обновлять новый домен C2 в конфигурационном файле ботнета».

Цепочка атаки начинается со злонамеренного ZIP-файла, вероятно, доставленного через фишинговое письмо, для запуска многоэтапной цепочки заражения, которая устанавливает PowMix. В частности, она включает ярлык Windows (LNK), который используется для запуска загрузчика PowerShell, который затем извлекает вредоносное ПО, встроенное в архив, расшифровывает его и запускает в памяти.

Эта ранее неизвестная бот-сеть предназначена для облегчения удаленного доступа, разведки и удаленного выполнения кода, одновременно обеспечивая постоянное присутствие с помощью запланированной задачи. В то же время она проверяет дерево процессов, чтобы убедиться, что на скомпрометированном хосте не запущен другой экземпляр того же вредоносного ПО.

Логика удаленного управления PowMix позволяет ему обрабатывать два разных типа команд, отправляемых с сервера C2. Любой ответ без префикса # заставляет PowMix переходить в режим произвольного выполнения, а также расшифровывать и запускать полученный полезный груз.

#KILL — для запуска процедуры самоудаления и стирания следов всех вредоносных артефактов

#HOST — для переноса C2 на новый URL-адрес сервера.

Параллельно с этим он также открывает ложный документ с приманками на тему соблюдения нормативных требований в качестве механизма отвлечения внимания. В этих документах упоминаются легитимные бренды, такие как Edeka, а также приводятся данные о компенсациях и ссылки на действующее законодательство — вероятно, с целью повысить свою достоверность и обмануть получателей, например соискателей вакансий.