DRILLAPP Ușă din spate

Analiștii în domeniul securității cibernetice au identificat o nouă campanie de amenințări care vizează organizațiile ucrainene, cu indicatori care sugerează implicarea unor actori legați de Rusia. Activitatea, observată pentru prima dată în februarie 2026, prezintă suprapuneri tehnice cu o operațiune anterioară atribuită grupului cunoscut sub numele de Laundry Bear (urmărit și ca UAC-0190 sau Void Blizzard). Campania anterioară a vizat forțele de apărare ucrainene și a implementat o familie de programe malware numită PLUGGYAPE.

Cea mai recentă operațiune introduce un backdoor bazat pe JavaScript, executat prin intermediul browserului Microsoft Edge. Malware-ul, denumit de cercetători DRILLAPP, este conceput pentru a exploata capacitățile browserului pentru a încărca și descărca fișiere, a accesa microfonul și a captura imagini de la camera web a victimei.

Atacatorii se bazează pe tactici de inginerie socială pentru a distribui componentele malițioase. Momelile care fac referire la probleme legale sau cauze caritabile sunt folosite pentru a încuraja victimele să deschidă fișiere malițioase și să inițieze lanțul de infectare.

Momeli înșelătoare și metodă de infectare inițială

Campania a fost observată în două variante distincte. Prima versiune, detectată la începutul lunii februarie 2026, folosește un fișier de comandă rapidă Windows (LNK) ca mecanism inițial de livrare. Când este executată, comanda rapidă creează un fișier HTML Application (HTA) în directorul temporar al sistemului. Acest fișier HTA preia apoi un script la distanță găzduit pe serviciul legitim de partajare a pastelor Pastefy.

Pentru a menține persistența pe sistemele compromise, atacatorii copiază fișierul LNK malițios în folderul Windows Startup, asigurându-se că acesta se execută automat după fiecare repornire a sistemului. Odată ce lanțul de infectare începe, victimelor li se prezintă adrese URL care conțin teme capcană, inclusiv instrucțiuni legate de instalarea Starlink sau referințe la organizația caritabilă ucraineană Come Back Alive Foundation.

Fișierul HTA se lansează în cele din urmă prin browserul Microsoft Edge care funcționează în modul headless, permițând browserului să execute scriptul ofuscat preluat din Pastefy fără a afișa o fereastră standard a browserului.

Exploatarea parametrilor browserului pentru acces ascuns

Pentru a-și maximiza capacitățile, procesul rău intenționat lansează browserul Edge cu mai mulți parametri care slăbesc protecțiile de securitate încorporate și permit accesul neautorizat la resurse sensibile ale sistemului.

Acești parametri permit instanței browserului să ocolească măsurile de siguranță obișnuite și să efectueze acțiuni restricționate în mod normal de modelele de securitate ale browserului. Configurația permite în mod eficient malware-ului să acceseze fișierele locale, să capteze fluxuri audio și video și să înregistreze activitatea ecranului fără a necesita nicio interacțiune din partea victimei.

Parametrii cheie ai browserului utilizați în atac includ:

--fără sandbox

--dezactivare-securitate-web

--permite-acces-la-fișiere-din-fișiere

--folosește-ui-fals-pentru-stream-media

--auto-select-screen-capture-source=true

--dezactivare-securitate-media-utilizator

Prin abuzul acestor setări, browserul devine o componentă funcțională a infrastructurii de malware, mai degrabă decât o simplă platformă de livrare.

Capacități de backdoor și supraveghere bazate pe browser

Artefactul DRILLAPP funcționează ca un backdoor ușor, dar versatil. Odată activ, permite atacatorilor să interacționeze cu sistemul infectat prin intermediul funcționalităților activate de browser, transformând efectiv browserul într-un instrument de supraveghere la distanță.

Malware-ul este capabil să efectueze mai multe operațiuni care permit monitorizarea extinsă și colectarea de date de pe dispozitivele compromise.

Capacitățile de bază includ:

• Încărcarea și descărcarea fișierelor din sistemul local
• Capturarea sunetului prin microfonul dispozitivului
• Înregistrarea videoclipurilor prin intermediul camerei web
• Realizarea de capturi de ecran ale afișajului sistemului
• Generarea unei amprente digitale unice a dispozitivului folosind tehnici de amprentare pe pânză

În timpul primei execuții, malware-ul generează o amprentă digitală a dispozitivului și folosește Pastefy ca un „rezolvator dead-drop” pentru a recupera o adresă WebSocket utilizată pentru comunicațiile de comandă și control. Această arhitectură permite atacatorilor să redirecționeze dinamic sistemele infectate către infrastructura lor operațională.

De asemenea, backdoor-ul transmite amprenta dispozitivului împreună cu locația geografică dedusă a victimei. Locația este determinată din fusul orar al sistemului și verificată în raport cu o listă predefinită care include Regatul Unit, Rusia, Germania, Franța, China, Japonia, Statele Unite, Brazilia, India, Ucraina, Canada, Australia, Italia, Spania și Polonia. Dacă fusul orar nu se potrivește cu niciuna dintre aceste regiuni, malware-ul identifică implicit sistemul ca fiind situat în Statele Unite.

Tehnici în evoluție în a doua variantă de campanie

O a doua versiune a campaniei a apărut la sfârșitul lunii februarie 2026, introducând mai multe modificări, menținând în același timp structura generală a atacului. În loc să se bazeze pe fișierele de comenzi rapide LNK, varianta actualizată folosește modulele din Panoul de control Windows ca mecanism inițial de livrare.

Și componenta backdoor a primit actualizări funcționale. Aceste îmbunătățiri permit malware-ului să efectueze operațiuni mai aprofundate asupra sistemului de fișiere și să îmbunătățească capacitatea sa de a exfiltra date din mediile infectate.

Îmbunătățirile notabile includ enumerarea recursivă a fișierelor, încărcările de fișiere în lot și posibilitatea de a descărca fișiere arbitrare direct pe sistemul compromis.

Ocolirea restricțiilor JavaScript cu instrumentele de depanare Chromium

Restricțiile standard de securitate JavaScript împiedică de obicei codul la distanță să descarce direct fișiere pe sistemul unei victime. Pentru a ocoli această limitare, atacatorii utilizează Chrome DevTools Protocol (CDP), o interfață internă de depanare utilizată de browserele bazate pe Chromium.

CDP poate fi accesat doar atunci când browserul este lansat cu parametrul --remote-debugging-port activat. Prin activarea acestei funcționalități de depanare, atacatorii dobândesc capacitatea de a controla programatic comportamentul browserului și de a ocoli restricțiile tipice de pe partea clientului, permițând descărcări de fișiere la distanță care altfel ar fi blocate.

Indicatori de dezvoltare timpurie și infrastructură experimentală

Dovezile sugerează că malware-ul este încă în curs de dezvoltare. O variantă timpurie, descoperită pe 28 ianuarie 2026, comunica exclusiv cu domeniul „gnome.com”, în loc să își recupereze sarcina utilă principală de la Pastefy.

Acest comportament indică faptul că actorii amenințători ar putea încă să își rafineze atât infrastructura, cât și capacitățile operaționale ale backdoor-ului.

Abuzul browserului ca strategie emergentă de evitare a utilizării

Unul dintre cele mai semnificative aspecte ale campaniei este utilizarea deliberată a unui browser web ca mediu principal de execuție pentru backdoor. Această abordare evidențiază o tendință crescândă în care atacatorii reutilizează software legitim pentru a evita detectarea.

Browserele oferă mai multe avantaje pentru operațiunile rău intenționate. Sunt utilizate pe scară largă și de obicei considerate procese benigne, reducând probabilitatea unor suspiciuni imediate. În plus, parametrii de depanare a browserului pot debloca capabilități puternice care permit acțiuni altfel restricționate, cum ar fi descărcările de fișiere la distanță și accesul extins la sistem.

În plus, browserele mențin permisiuni legitime pentru a interacționa cu resurse hardware sensibile, inclusiv microfoane, camere și mecanisme de captură de ecran, ceea ce permite atacatorilor să efectueze activități de supraveghere în timp ce se integrează în comportamentul normal al sistemului.