VHDX-цепочка доставки скрывает Remcos RAT через JavaScript

ZIP с VHDX-диском маскирует JavaScript-этап, ведущий к развёртыванию Remcos RAT. Риск в цепочке доверенных форматов и автоподключении

2026-06-17 GIGATAP Team #security
#malware#remcos-rat#vhdx

Малварная цепочка, разобранная SANS ISC, показывает схему доставки, где VHDX-диск используется как контейнер для скрытия JavaScript-пейлоада. После автоматического или полуавтоматического монтирования в Windows он раскрывается и запускает дальнейшую стадию атаки с итоговым развёртыванием Remcos RAT. Риск заключается не в одном эксплойте, а в злоупотреблении механизмами обработки файлов и доверием к дисковым образам.

Что изменилось#

Анализируемый вредоносный архив (SHA256: a0104921a2d37ab87482ac9a9f5c3713479c118846c3e999178e75b81620c094) поступает в виде ZIP-файла. Внутри находится VHDX-образ виртуального диска. В современных системах Windows такие образы могут монтироваться автоматически или с минимальным участием пользователя.

После монтирования диск раскрывает JavaScript-пейлоад. Этот скрипт выступает как переходный слой: от пассивного хранения к активному выполнению. Финальная стадия цепочки — Remcos RAT, инструмент удалённого доступа для полного контроля над системой.

Структура важнее отдельных компонентов. ZIP скрывает VHDX. VHDX скрывает скрипт. Скрипт запускает выполнение. Каждый слой снижает эффективность статического анализа.

Почему цепочка важна#

VHDX превращается в обход границы исполнения за счёт того, как операционная система трактует дисковые образы.

Формат VHDX сам по себе нейтрален. Проблема возникает из-за того, что он воспринимается как доверенное хранилище. Это создаёт слепую зону: защитные инструменты анализируют архивы, но не всегда отслеживают содержимое уже смонтированных виртуальных дисков в реальном времени.

Определение#

VHDX — формат виртуального диска Microsoft, используемый для хранения полных образов файловых систем, которые могут подключаться как логические диски в Windows.

Что проверить#

Фокус смещается с типа файла на поведение после монтирования и появление вторичных стадий.

  • ZIP-архивы с образами дисков: VHDX, VHD, ISO
  • События автоматического или ручного монтирования дисков
  • Запуск JavaScript из недавно подключённых томов
  • Выполнение скриптов вне браузеров и стандартных dev-инструментов
  • Корреляция между распаковкой архива и появлением нового диска в системе

Сравнение слоёв доставки#

Слой | Видимость | Модель риска | Типичная слепая зона
ZIP-архив | Высокая | Низкая до распаковки | Вложенные контейнеры
VHDX-диск | Средняя | Средняя после монтирования | Воспринимается как доверенное хранилище
JavaScript-пейлоад | Высокая после раскрытия | Высокая | Выполнение вне ожидаемого контекста

Каждый слой сам по себе выглядит безопасным. Комбинация формирует цепочку атаки.

Что не утверждать#

В самом образце нет признаков уязвимости VHDX как формата. Риск носит операционный характер и не относится к классу CVE. Атака опирается на поведение Windows и сценарии монтирования.

Метод не является концептуально новым. Используется повторная упаковка многоуровневых контейнеров для отсрочки анализа и детектирования.

FAQ#

Core риск заключается в выполнении кода, скрытого за доверенным дисковым образом, который подключается до завершения анализа содержимого.

VHDX сам по себе не является опасным форматом. Опасность возникает из-за использования его как контейнера для исполняемого содержимого.

Обнаружение возможно только при мониторинге событий монтирования и последующего выполнения скриптов внутри новых виртуальных томов.