Google DoubleClick wykorzystany do dostarczania DesckVB RAT w kampanii malspamowej - Security Bez Tabu

Google DoubleClick wykorzystany do dostarczania DesckVB RAT w kampanii malspamowej

Cybersecurity news

Wprowadzenie do problemu / definicja

Badacze bezpieczeństwa opisali kampanię malspamową, w której atakujący nadużywają legalnej infrastruktury Google DoubleClick do ukrycia pierwszych etapów infekcji i zwiększenia wiarygodności całego łańcucha ataku. Celem operacji jest dostarczenie DesckVB RAT, czyli zdalnego trojana dostępowego umożliwiającego przejęcie kontroli nad zainfekowanym systemem, wykonywanie poleceń oraz pobieranie kolejnych ładunków.

W praktyce oznacza to połączenie phishingu z technikami unikania detekcji, które utrudniają zarówno użytkownikom, jak i narzędziom ochronnym szybkie rozpoznanie zagrożenia. Wykorzystanie zaufanej usługi pośredniczącej sprawia, że początkowy ruch może wyglądać mniej podejrzanie niż w przypadku klasycznych kampanii opartych na świeżo zarejestrowanych domenach.

W skrócie

  • Kampania startuje od wiadomości phishingowej z załącznikiem HTML.
  • Po otwarciu pliku ofiara jest przekierowywana przez Google DoubleClick do infrastruktury napastnika.
  • Na podstawie adresu e-mail generowana jest spersonalizowana strona przynęty.
  • Użytkownik pobiera archiwum ZIP uruchamiające wieloetapowy łańcuch infekcji.
  • W ataku wykorzystywane są komponenty JavaScript, PowerShell oraz loader .NET.
  • Końcowym ładunkiem jest DesckVB RAT zapewniający persystencję i komunikację z serwerem C2.

Kontekst / historia

Opisana kampania wpisuje się w szerszy trend nadużywania legalnych usług internetowych do maskowania aktywności przestępczej. Dla zespołów bezpieczeństwa takie podejście jest szczególnie problematyczne, ponieważ ruch przechodzący przez rozpoznawalną infrastrukturę bywa trudniejszy do zablokowania i może nie wzbudzać alarmów na wczesnym etapie.

Dodatkowym czynnikiem zwiększającym skuteczność ataku jest personalizacja strony docelowej na podstawie danych ofiary. Tego typu mechanizm pozwala operatorom tworzyć bardziej wiarygodne przynęty bez konieczności ręcznego przygotowywania osobnych scenariuszy dla każdej organizacji. Jednocześnie DesckVB RAT jest zagrożeniem, które zyskuje znaczenie w aktywnych kampaniach, co sugeruje dalszy rozwój jego funkcji oraz metod dostarczania.

Analiza techniczna

Łańcuch infekcji rozpoczyna się od otwarcia załącznika HTML dołączonego do wiadomości e-mail. Plik uruchamia przekierowanie typu meta refresh do adresu śledzącego kliknięcia w Google DoubleClick Campaign Manager. Następnie użytkownik trafia do kolejnego redirectora, który dekoduje zakodowany w Base64 adres e-mail i prowadzi do spersonalizowanego landing page z przyciskiem pobrania rzekomego dokumentu.

Zamiast obiecanego pliku PDF ofiara pobiera archiwum ZIP. W środku znajduje się loader JavaScript inicjujący następny etap, czyli uruchomienie skryptu PowerShell. Ten komponent pobiera z zewnętrznego serwera loader .NET działający jako stager. Taki wieloetapowy model utrudnia analizę, a jednocześnie pozwala operatorom kampanii szybko wymieniać poszczególne elementy bez przebudowy całego mechanizmu dostarczania.

Loader .NET realizuje zestaw funkcji typowych dla współczesnego malware. Sprawdza warunki środowiska, podejmuje próby obejścia zabezpieczeń, ustanawia persystencję i pobiera właściwy ładunek RAT. Jednym z kluczowych elementów jest użycie process hollowing, czyli techniki wstrzyknięcia złośliwego kodu do legalnego procesu systemowego. Takie działanie utrudnia detekcję behawioralną i zaciera ślady procesu odpowiedzialnego za komunikację oraz wykonywanie poleceń.

Po uruchomieniu DesckVB RAT nawiązuje łączność z serwerem dowodzenia i kontroli przez surowe gniazda TCP, wykonuje rekonesans systemu oraz modyfikuje ustawienia ochronne Windows. Malware może dodawać wyjątki w Microsoft Defender, ingerować w AMSI i ETW na poziomie natywnych API oraz ograniczać widoczność swoich działań w telemetrii systemowej. Persystencja osiągana jest przez wpisy Run i RunOnce w rejestrze, a także przez umieszczenie komponentu startowego w folderze Startup. Złośliwe oprogramowanie posiada również funkcje antyanalityczne, które mogą skutkować zakończeniem działania lub restartem systemu po wykryciu narzędzi badawczych czy środowiska sandbox.

Konsekwencje / ryzyko

Ryzyko dla organizacji jest wysokie, ponieważ kampania łączy kilka elementów istotnie zwiększających skuteczność ataku. Wśród nich znajdują się wykorzystanie zaufanej infrastruktury pośredniczącej, personalizacja przynęty, wieloetapowy loader i aktywne obchodzenie mechanizmów ochrony systemu Windows. W efekcie zarówno użytkownik końcowy, jak i klasyczne zabezpieczenia poczty oraz ruchu webowego mogą nie wykryć zagrożenia odpowiednio wcześnie.

Po skutecznej infekcji atakujący uzyskują trwały dostęp do stacji roboczej i szerokie możliwości operacyjne. Obejmuje to kradzież danych, zdalne wykonywanie poleceń, dostarczanie kolejnych rodzin malware, ruch boczny w środowisku oraz przygotowanie gruntu pod ransomware lub eksfiltrację informacji. Szczególnie niebezpieczne jest połączenie persystencji, osłabiania mechanizmów ochronnych i ograniczania telemetrii, ponieważ wydłuża ono czas obecności napastnika i utrudnia działania zespołów reagowania.

Rekomendacje

Organizacje powinny wdrażać obronę warstwową obejmującą pocztę, endpointy, monitoring ruchu oraz polityki ograniczające wykonywanie skryptów. Na poziomie poczty warto zadbać o poprawną konfigurację SPF, DKIM i DMARC, a także o bramki zdolne do sandboxowania załączników HTML i ZIP oraz analizy łańcuchów przekierowań.

  • Monitorować kampanie phishingowe wykorzystujące legalne usługi pośredniczące i reklamowe.
  • Ograniczyć uruchamianie JavaScript, HTA, VBS i PowerShell tam, gdzie nie są niezbędne.
  • Wymusić politykami GPO otwieranie wybranych plików skryptowych w edytorze tekstu zamiast ich automatycznego wykonywania.
  • Wykrywać tworzenie wpisów Run i RunOnce oraz modyfikacje folderu Startup.
  • Monitorować próby dodawania wyjątków do Microsoft Defender oraz ingerencji w AMSI i ETW.
  • Korelować zdarzenia z poczty, proxy webowego i systemów EDR w celu pełniejszej analizy incydentu.
  • Prowadzić szkolenia użytkowników z rozpoznawania fałszywych stron pobierania dokumentów i ryzyk związanych z załącznikami HTML.

Podsumowanie

Kampania wykorzystująca Google DoubleClick pokazuje, że napastnicy coraz częściej opierają pierwsze etapy infekcji na legalnej i powszechnie zaufanej infrastrukturze. W połączeniu z dynamiczną personalizacją przynęty oraz wieloetapowym łańcuchem dostarczania znacząco zwiększa to prawdopodobieństwo powodzenia ataku.

DesckVB RAT stanowi poważne zagrożenie dla środowisk Windows ze względu na funkcje zdalnego dostępu, persystencję, obchodzenie zabezpieczeń i możliwość dalszej eskalacji incydentu. Najskuteczniejszą odpowiedzią pozostaje połączenie ochrony poczty, ograniczenia wykonywania skryptów, zaawansowanej telemetrii endpointów oraz twardych polityk bezpieczeństwa.

Źródła

  1. The Hacker News — https://thehackernews.com/2026/06/google-doubleclick-abused-in-new.html
  2. Huntress — DesckVB RAT campaign analysis — https://www.huntress.com/
  3. Microsoft Learn — Antimalware Scan Interface (AMSI) — https://learn.microsoft.com/
  4. Microsoft Learn — Event Tracing for Windows (ETW) — https://learn.microsoft.com/