Sophos Endpoint в действии: блокировка новой атаки на цепочку поставок.

Архитектура Sophos Endpoint изначально разработана для автоматической блокировки эксплойтов, программ-вымогателей и методов злоумышленников по умолчанию, без необходимости ручной настройки.

В этом примере демонстрируется, как уникальные возможности защиты от эксплойтов, встроенные в Sophos Endpoint, заблокировали атаку на цепочку поставок с помощью JDownloader , бесплатного менеджера загрузок на основе Java от AppWork GmbH, который автоматизирует массовую загрузку файлов с файловых хостингов и видеосайтов с возможностью загрузки в один клик.

Как разворачивалось нападение

Это была атака с использованием уязвимости «водяной ямы»: в период с 6 по 7 мая 2026 года злоумышленники взломали официальный сайт JDownloader и незаметно заменили установщики для Windows на альтернативной странице загрузки неподписанными, зараженными вредоносным ПО бинарными файлами.

В троянизированном исполняемом файле вместе со вредоносным кодом был встроен настоящий JDownloader, поэтому приложение устанавливалось и работало нормально, и ничего не подозревающая жертва не видела никаких признаков взлома. Сообщения от жертв указывают на то, что вредоносная программа отключает Microsoft Defender в рамках своей цепочки выполнения.

Замена оставалась незамеченной более суток, пока пользователь Reddit не обнаружил предупреждения SmartScreen, после чего разработчик JDownloader подтвердил взлом и отключил сайт. До этого момента каждая загрузка содержала скрытое вредоносное ПО.

Причина? Неустраненная уязвимость на сайте JDownloader, которая позволяла злоумышленникам редактировать списки контроля доступа сайта без аутентификации. Получив доступ, они просто перенаправляли ссылки для скачивания на свои собственные вредоносные файлы.

Sophos Endpoint в действии

При атаке на цепочку поставок проблема заключается не в том, доберутся ли злоумышленники до ваших конечных точек, а в том, смогут ли ваши средства защиты остановить ранее неизвестные им методы без индивидуальной настройки приложений, списков исключений или присутствия специалиста по безопасности в режиме ожидания.

В ходе этой атаки Sophos Endpoint заблокировал троянизированный установщик с помощью Kernel32Trap, одного из более чем 60 средств защиты от эксплойтов, которые развертываются автоматически с первого дня. Не требовалось ни облачного поиска, ни сигнатуры, ни анализа с помощью ИИ, ни предварительного знания о кампании.

Уникальный подход, который переворачивает ситуацию в свою пользу в противостоянии с нападающими.

Kernel32Trap нацелен на MITRE ATT&CK T1027.007 (Dynamic API Resolution), практически универсальный шаблон во многих шеллкодах, при котором полезная нагрузка находит необходимые ей системные функции во время выполнения, а не объявляет их в таблице импорта бинарного файла, где их могли бы обнаружить антивирусные сканеры.

Сама компания MITRE классифицирует этот метод как тот, который «не может быть легко нейтрализован с помощью превентивных мер контроля, поскольку он основан на злоупотреблении функциями системы».

В Sophos мы используем подход, который переворачивает с ног на голову предположение, лежащее в основе этой техники: подобно тому, как злоумышленники внедряют вредоносное ПО там, где пользователи ожидают найти легитимные файлы, мы устанавливаем ловушку именно в том месте, где вредоносное ПО ожидает найти легитимный компонент системы. В тот момент, когда вредоносное ПО пытается вызвать то, что оно только что «обнаружило», управление атакой переходит к нашей системе защиты, и процесс завершается.

Благодаря двум уникальным конструктивным решениям Sophos Endpoint, эта система работает.

1. Sophos Endpoint загружает свою защиту в режиме реального времени в каждый процесс на исключительно ранней стадии с помощью запатентованного механизма. Это означает, что ловушка уже активирована к моменту запуска приложения; первый же шаг злоумышленника проверяется защитой, которая его ожидала.
2. Механизм защиты срабатывает в момент активации вредоносного ПО: оно останавливается при первой попытке использования разрешенного API, не раньше (что могло бы привести к ложным срабатываниям на безобидном коде) и не позже (когда полезная нагрузка уже выполняется). В момент срабатывания защиты вредоносное ПО находилось в процессе формирования списка функций Windows, необходимых для развертывания второго этапа.

В период с 6 по 8 мая эта единственная мера защиты сработала на 11 конечных устройствах клиентов в нашей сети, заблокировав выполнение троянизированного установщика JDownloader во всех случаях, задолго до того, как команда JDownloader завершила устранение последствий взлома на своей стороне.

Стратегическое преимущество Sophos Endpoint

Злоумышленники настраивают свои методы обхода защиты против тех средств защиты, с которыми они ожидают столкнуться, и в основном полагаются на встроенную защиту операционной системы. Именно меры противодействия, не учтенные в их тестовой матрице, те препятствия, которые они не предусмотрели, — вот где мы побеждаем.

Главное преимущество Sophos Endpoint заключается в том, что большинство из более чем 60 мер защиты от эксплойтов применяются ко всем работающим приложениям по умолчанию, не нарушая совместимость и не требуя настройки для каждой среды. Kernel32Trap — это не новая функция; фактически, она незаметно выполняет свою работу уже 10 лет: тот же путь выполнения кода, никакой настройки, та же мощная защита от атак, разработанных для обхода типичных средств защиты по умолчанию.

Аналогичные продукты, предлагающие схожие методы, как правило, ограничивают их использование фиксированным списком разрешенных процессов, содержащих заведомо конфиденциальную информацию, что неэффективно против троянизированного установщика, который может запускаться под любым именем процесса.

Вот как выглядит многоуровневая защита на уровне технических средств в производственной среде: меры по смягчению последствий, применяемые повсеместно в 2016 году, превращают метод обхода защиты, который сама MITRE считает неизбежным, в незначительное событие для 11 клиентов за два дня.

Одна история, множество других примеров

Эта история — один из примеров слишком распространенного враждебного подхода.

Аналогичную картину мы наблюдали в инциденте с CPU-Z в апреле 2026 года , когда сайт cpuid.com был взломан, и URL-адреса для загрузки CPU-Z и HWMonitor были заменены ссылками на вредоносные установщики, использующие загрузку DLL-файлов.

Sophos Endpoint заблокировал и эту кампанию без предварительного уведомления, на этот раз с помощью Dynamic Shellcode Protection — еще одного средства защиты от вредоносных программ, разработанного специально для Sophos и входящего в тот же уровень защиты во время выполнения.

Усильте защиту от атак на цепочку поставок с помощью Sophos Endpoint.

Sophos Endpoint обеспечивает непревзойденную защиту от атак, инициированных людьми и искусственным интеллектом. Чтобы узнать больше и протестировать его, посетите сайт sophos.com/endpoint .