Wprowadzenie do problemu / definicja
Kampania FAUX#ELEVATE pokazuje, że przynęty rekrutacyjne nadal pozostają jednym z najskuteczniejszych sposobów wejścia do środowisk firmowych. Atakujący rozsyłają pliki podszywające się pod życiorysy kandydatów, które po uruchomieniu inicjują wieloetapowy łańcuch infekcji.
W praktyce nie chodzi wyłącznie o phishing. Złośliwy plik prowadzi do kradzieży poświadczeń, eksfiltracji danych lokalnych oraz instalacji koparki kryptowaluty Monero. To połączenie klasycznego infostealera i cryptojackingu sprawia, że incydent może mieć zarówno natychmiastowe, jak i długofalowe skutki operacyjne.
W skrócie
FAUX#ELEVATE to kampania ukierunkowana na organizacje francuskojęzyczne, wykorzystująca fałszywe CV jako nośnik malware. Główny dropper w formie silnie zaciemnionego skryptu VBScript wyświetla komunikat o rzekomo uszkodzonym dokumencie, a w tle uruchamia działania prowadzące do eskalacji uprawnień, osłabienia zabezpieczeń systemowych i pobrania kolejnych komponentów.
Zainfekowana stacja może zostać wykorzystana do kradzieży danych z przeglądarek, wyprowadzenia plików z pulpitu, utrzymania trwałego dostępu oraz wydobywania Monero. Istotnym elementem tej operacji jest selekcja ofiar — malware sprawdza, czy host należy do domeny firmowej, dzięki czemu koncentruje się na systemach o wyższej wartości dla operatorów kampanii.
Kontekst / historia
Przynęty związane z rekrutacją od lat są skuteczne, ponieważ wpisują się w naturalne procesy biznesowe. Działy HR i managerowie regularnie otwierają dokumenty od kandydatów, co obniża czujność i zwiększa szansę powodzenia ataku.
W przypadku FAUX#ELEVATE atakujący zastosowali podejście typu living-off-the-land, łącząc legalne narzędzia systemowe, zaufane usługi i przejęte strony internetowe. Taka strategia utrudnia wykrycie, ponieważ część aktywności może przypominać zwykłe działania administracyjne lub użytkowe.
Analiza techniczna
Punkt wejścia stanowi wiadomość phishingowa z załączonym plikiem VBS nazwanym tak, aby wyglądał jak dokument aplikacyjny. Po uruchomieniu skrypt wyświetla użytkownikowi fałszywy komunikat o błędzie, sugerując uszkodzenie pliku, podczas gdy faktyczny kod uruchamia kontrole antyanalityczne i próby wymuszenia podniesienia uprawnień przez monity UAC.
Jedną z najbardziej charakterystycznych cech próbki jest bardzo silne zaciemnienie. Plik składa się z ogromnej liczby linii, z których tylko niewielka część odpowiada za rzeczywiste wykonanie kodu. Reszta ma za zadanie zwiększyć rozmiar próbki, utrudnić analizę statyczną i podnieść koszt pracy analityków.
Po uzyskaniu wyższych uprawnień dropper modyfikuje lokalne ustawienia ochrony. Dodawane są wykluczenia w Microsoft Defender dla głównych liter dysków, a następnie zmieniane są ustawienia UAC w rejestrze. Skrypt usuwa też własny plik, aby ograniczyć widoczność śladów pozostawionych na hoście.
W dalszej fazie malware pobiera dwa archiwa 7-Zip zabezpieczone hasłem. Zawierają one komponenty do kradzieży danych, utrzymania dostępu i uruchomienia koparki. Wśród nich znajdują się moduły przechwytujące dane z przeglądarek opartych na Chromium, narzędzia do wyciągania profili i poświadczeń Firefoksa, skrypt do eksfiltracji plików z pulpitu, trojan komunikujący się z infrastrukturą sterującą oraz koparka XMRig.
Szczególnie ważny jest mechanizm selekcji ofiar. Za pomocą WMI malware sprawdza, czy system jest przyłączony do domeny. Pełny łańcuch infekcji aktywuje się tylko na komputerach firmowych, co ogranicza ekspozycję kampanii i zwiększa szansę pozyskania wartościowych poświadczeń korporacyjnych.
Kradzież danych z przeglądarek obejmuje także obejście zabezpieczeń App-Bound Encryption w środowiskach Chromium z użyciem narzędzia bazującego na projekcie ChromElevator. Dodatkowo używany jest moduł dla Firefoksa oraz skrypt wyprowadzający pliki z pulpitu. Eksfiltracja odbywa się przez SMTP, co jest mniej typowe niż HTTP lub HTTPS, ale może być skuteczne tam, gdzie monitoring ruchu pocztowego ze stacji roboczych jest ograniczony.
Trwałość infekcji realizowana jest wielowarstwowo. Malware tworzy klucze Run w rejestrze oraz ukryte zadanie harmonogramu, które okresowo uruchamia komponenty odpowiedzialne za komunikację z serwerem sterującym i utrzymanie koparki. Nazwy artefaktów zostały dobrane tak, aby przypominały legalne elementy systemowe.
Koparka Monero wykorzystuje również legalny sterownik jądra WinRing0x64.sys, co pozwala na bardziej efektywne sterowanie ustawieniami procesora. Po zakończeniu etapu kradzieży części danych część narzędzi jest usuwana, a na systemie pozostają głównie elementy związane z persistence i wydobywaniem kryptowaluty, co utrudnia późniejszą rekonstrukcję incydentu.
Konsekwencje / ryzyko
Najpoważniejszym skutkiem kampanii jest utrata poświadczeń zapisanych w przeglądarkach. Mogą to być loginy do usług biznesowych, kont SaaS, sesji administracyjnych oraz narzędzi wewnętrznych, co otwiera drogę do ruchu bocznego i wtórnych kompromitacji.
Drugim istotnym zagrożeniem jest eksfiltracja plików lokalnych, zwłaszcza danych przechowywanych na pulpicie użytkownika. W praktyce często znajdują się tam dokumenty robocze, raporty, zestawienia finansowe, pliki HR i inne materiały, które mogą nie być objęte pełną kontrolą bezpieczeństwa.
Trzecim obszarem ryzyka jest cryptojacking. Uruchomienie koparki Monero obniża wydajność stacji roboczej, zwiększa zużycie energii i może wpływać na żywotność sprzętu. Co ważne, organizacja może zauważyć jedynie spadek wydajności i przeoczyć wcześniejszą kradzież danych.
Niepokojący jest także krótki czas realizacji infekcji. Od uruchomienia skryptu do eksfiltracji poświadczeń może minąć zaledwie kilkadziesiąt sekund, co znacząco skraca okno reakcji dla zespołów SOC i administratorów.
Rekomendacje
Organizacje powinny potraktować proces obsługi aplikacji kandydatów jako obszar podwyższonego ryzyka. W praktyce warto odseparować analizę załączników rekrutacyjnych od standardowej pracy użytkowników i wdrożyć ich skanowanie w środowiskach izolowanych.
- blokować uruchamianie VBScript z katalogów użytkownika oraz ograniczać obsługę nietypowych rozszerzeń plików,
- monitorować procesy potomne uruchamiane przez wscript.exe i cscript.exe, zwłaszcza gdy wywołują cmd.exe, powershell.exe lub schtasks.exe,
- wykrywać próby dodawania wykluczeń w Defenderze oraz zmiany ustawień UAC i autostartu,
- kontrolować nietypowe połączenia SMTP ze stacji roboczych użytkowników,
- szukać artefaktów persistence w kluczach Run i ukrytych zadaniach harmonogramu,
- ograniczać lokalne uprawnienia administracyjne zgodnie z zasadą least privilege,
- centralnie logować zdarzenia PowerShell, WMI i harmonogramu zadań,
- po potwierdzonym uruchomieniu próbki resetować poświadczenia i unieważniać aktywne sesje,
- prowadzić dodatkowe szkolenia dla działów HR i rekrutacji dotyczące fałszywych aplikacji kandydatów.
Podsumowanie
FAUX#ELEVATE to przykład dojrzałej kampanii cyberprzestępczej, która maksymalizuje zysk z pojedynczej kompromitacji. Łączy wiarygodną przynętę biznesową z kradzieżą poświadczeń, eksfiltracją danych, mechanizmami trwałości i kopaniem kryptowaluty.
Z perspektywy obrońców kluczowe znaczenie ma nie tylko ochrona infrastruktury technicznej, ale również zabezpieczenie codziennych procesów biznesowych, takich jak rekrutacja. To właśnie w tych pozornie rutynowych obszarach atakujący coraz częściej znajdują najłatwiejszą drogę do środowiska organizacji.
Źródła
- The Hacker News — https://thehackernews.com/2026/03/hackers-use-fake-resumes-to-steal.html
- Securonix Threat Research: FAUX#ELEVATE — https://www.securonix.com/blog/faux-elevate-threat-actors-crypto-miners-and-infostealers/