Новое ВПО использует блокчейн TON и Node.js для атак на отели
Гостиничный бизнес Японии, работающий через Booking.com, подвергся атакам с использованием трояна TONResolver. Исследователи из TrendAI выявили кампанию на блокчейн-платформе TON в мае 2026 года. Волна фишинговых писем была направлена на сотрудников партнёрских компаний сервиса. Их маскировали под жалобы гостей и запросы на отзывы, прикладывая ссылки на ZIP-архивы с ярлыками LNK, замаскированными под изображения. Дополнительно использовались атаки через Gmail с предварительной перепиской, когда сначала отправлялся обычный запрос, а затем приходило сообщение с вредоносной ссылкой.
Основным компонентом стал троян удалённого доступа TONResolver. Вредонос обеспечивал первичный доступ к системе и запуск команд на заражённых узлах, при этом код использовал обфускацию в виде собственной виртуальной машины, что усложняло статический анализ. Управляющий сервер C&C не был жёстко прописан в коде: его домен хранился в смарт-контракте блокчейна TON и извлекался через API-сервис tonapi.io, что позволяло злоумышленникам динамически менять адрес без обновления вредоносного файла. Телеметрия по доменам на TLD `.cfd` показала, что основная часть обращений шла из Японии, а заражённые узлы детектировались как `TrojanSpy.JS.TONRESOLVER.A` и поддерживали постоянный канал связи с C&C.
Цепочка заражения начиналась с перехода по ссылке, загрузки ZIP-архива и запуска LNK-файла. Внутри ярлыка выполнялась команда PowerShell, которая обрабатывала два больших числа, восстанавливала доменное имя, загружала PS1-скрипт, сохраняла его во временную папку и запускала. Сервер возвращал скрипт только при наличии строки «Powershell» в заголовке User-Agent. Далее PS1-скрипт развёртывал Node.js в каталоге `%USERPROFILE%\AppData\Local\Nodejs`, скачивал и распаковывал дистрибутив `node-v24.13.0-win-x64` с официального сайта nodejs.org, сохранял JavaScript-файл и запускал `node.exe` с этим файлом и доменным именем. В коде были реализованы восстановление ключа и IV AES из Base64, извлечение имени мьютекса и контроль повторного запуска.
Статический анализ JavaScript-файла показал наличие виртуальной машины для интерпретации команд, обращений к ключу автозапуска реестра, функций шифрования и расшифровки AES, использования криптографической кривой secp256k1 и проверки соединения с Google. Динамический анализ подтвердил, что после инициализации и проверки мьютекса троян настраивает автозапуск, запрашивает TonAPI, получает домен C&C, устанавливает WebSocket-соединение, обменивается ключами по ECDH , вычисляет ключ AES через HKDF-SHA256 и далее передаёт данные об устройстве и служебные сообщения. Сообщения типов от `type:0` до `type:8` используются для поддержания связи, обмена ключами, передачи информации о системе и выполнения произвольного JavaScript-кода, запуска файлов и команд PowerShell по указанию C&C.
Отчёт TrendAI Vision One показывает, что из процесса `node.exe`, в котором работал TONResolver, запускался дополнительный исполняемый файл в каталоге `%USERPROFILE%\AppData\Local\Temp`. Этот файл обращался к данным браузеров Chrome и Edge и к процессу `lsass.exe`, что указывает на попытку сбора паролей, cookie, истории посещений и других чувствительных данных.
