Новое ВПО использует блокчейн TON и Node.js для атак на отели

3 мин
16
2 июля 2026
Новое ВПО использует блокчейн TON и Node.js для атак на отели

Гостиничный бизнес Японии, работающий через Booking.com, подвергся атакам с использованием трояна TONResolver. Исследователи из TrendAI выявили кампанию на блокчейн-платформе TON в мае 2026 года. Волна фишинговых писем была направлена на сотрудников партнёрских компаний сервиса. Их маскировали под жалобы гостей и запросы на отзывы, прикладывая ссылки на ZIP-архивы с ярлыками LNK, замаскированными под изображения. Дополнительно использовались атаки через Gmail с предварительной перепиской, когда сначала отправлялся обычный запрос, а затем приходило сообщение с вредоносной ссылкой.

Booking.com сообщил о взломе и частичной утечке данных

Основным компонентом стал троян удалённого доступа TONResolver. Вредонос обеспечивал первичный доступ к системе и запуск команд на заражённых узлах, при этом код использовал обфускацию в виде собственной виртуальной машины, что усложняло статический анализ. Управляющий сервер C&C не был жёстко прописан в коде: его домен хранился в смарт-контракте блокчейна TON и извлекался через API-сервис tonapi.io, что позволяло злоумышленникам динамически менять адрес без обновления вредоносного файла. Телеметрия по доменам на TLD `.cfd` показала, что основная часть обращений шла из Японии, а заражённые узлы детектировались как `TrojanSpy.JS.TONRESOLVER.A` и поддерживали постоянный канал связи с C&C.

Цепочка заражения начиналась с перехода по ссылке, загрузки ZIP-архива и запуска LNK-файла. Внутри ярлыка выполнялась команда PowerShell, которая обрабатывала два больших числа, восстанавливала доменное имя, загружала PS1-скрипт, сохраняла его во временную папку и запускала. Сервер возвращал скрипт только при наличии строки «Powershell» в заголовке User-Agent. Далее PS1-скрипт развёртывал Node.js в каталоге `%USERPROFILE%\AppData\Local\Nodejs`, скачивал и распаковывал дистрибутив `node-v24.13.0-win-x64` с официального сайта nodejs.org, сохранял JavaScript-файл и запускал `node.exe` с этим файлом и доменным именем. В коде были реализованы восстановление ключа и IV AES из Base64, извлечение имени мьютекса и контроль повторного запуска.

Статический анализ JavaScript-файла показал наличие виртуальной машины для интерпретации команд, обращений к ключу автозапуска реестра, функций шифрования и расшифровки AES, использования криптографической кривой secp256k1 и проверки соединения с Google. Динамический анализ подтвердил, что после инициализации и проверки мьютекса троян настраивает автозапуск, запрашивает TonAPI, получает домен C&C, устанавливает WebSocket-соединение, обменивается ключами по ECDH , вычисляет ключ AES через HKDF-SHA256 и далее передаёт данные об устройстве и служебные сообщения. Сообщения типов от `type:0` до `type:8` используются для поддержания связи, обмена ключами, передачи информации о системе и выполнения произвольного JavaScript-кода, запуска файлов и команд PowerShell по указанию C&C.

Отчёт TrendAI Vision One показывает, что из процесса `node.exe`, в котором работал TONResolver, запускался дополнительный исполняемый файл в каталоге `%USERPROFILE%\AppData\Local\Temp`. Этот файл обращался к данным браузеров Chrome и Edge и к процессу `lsass.exe`, что указывает на попытку сбора паролей, cookie, истории посещений и других чувствительных данных. 

Важное по теме
Новости
Читать 2 минуты
02.07.2026
Новый подход учитывает цифровые связи пользователей и повышает точность моделей
Новости
Читать 2 минуты
02.07.2026
Система анализирует видео руки и удаляет данные после проверки
Новости
Читать 2 минуты
01.07.2026
Исследователи связывают атаку с хакерской группировкой ToddyCat
Оставьте комментарий
Доступно для авторизованных пользователей
1/1000