Подмена инсталляционных пакетов

📌 Что такое подмена инсталляционных пакетов?

Подмена инсталляционных пакетов — это форма supply chain атаки, при которой злоумышленник
модифицирует или заменяет установочный файл программы, чтобы встроить вредоносный компонент.

Заменённый пакет может быть размещён на:

• поддельных сайтах, имитирующих официальный ресурс;
• взломанных официальных сайтах разработчиков;
• файлообменниках и пиратских порталах;
• компрометированных зеркалах скачивания;
• торрент-трекерах;
• сторонних репозиториях пакетов;
• в мобильных сторонах APK-файлов.

Встроенный вредоносный модуль запускается автоматически после инсталляции
или одновременно с реальной программой, имитируя её нормальную работу.

🔍 Как работает атака: простой и понятный разбор

Сам процесс подмены инсталлятора обычно выглядит следующим образом:

1. Злоумышленник получает оригинальный инсталлятор.
   Например, скачивает программу с официального сайта.
2. Извлекает содержимое пакета.
   Для MSI, EXE, APK и других форматов существуют десятки инструментов.
3. Встраивает вредоносный код.
   Это может быть троян, бекдор, кейлоггер, майнер или загрузчик.
4. Перепаковывает инсталлятор.
   Файл должен выглядеть и работать как оригинал.
5. Распространяет подменённый пакет.
   Чаще всего — через фишинговые сайты, форумы, торренты.
6. Жертва устанавливает программу.
   Пользователь видит обычную установку и ничего не подозревает.
7. Вредоносный код запускается в системе.
   Настоящая программа тоже может работать, чтобы скрыть следы атаки.

1. Поддельные инсталляторы Windows и Office

Это один из самых распространённых сценариев. Пользователь ищет «скачать Windows бесплатно»
и попадает на сайт-клон. Там предлагается ISO или EXE, в который встроен троян.

• массовая установка криптомайнеров;
• установка банковских троянов;
• получение полного контроля над ПК через RAT.

2. Подмена игровых установщиков (Steam, Origin, Epic Games)

Игроки часто становятся жертвами социальной инженерии. Поддельные «кряки», «моды» и
«бесплатные версии игр» содержат малварь.

• воруют Steam-аккаунты;
• устанавливают скрытые майнеры;
• запускают трояны для кражи паролей.

3. Поддельные APK-файлы Android

Особенно опасно для пользователей, которые отключают Google Play Protect и скачивают APK вручную.

• банковские Android-трояны;
• подмена системных разрешений;
• перехват SMS, данных и уведомлений;
• кража аккаунтов и контактов.

4. Подмена инструментов администраторов (PuTTY, WinRAR, FileZilla)

Целенаправленные атаки АРТ-групп часто включают подделку утилит администраторов, чтобы
заразить корпоративные сети.

Были случая, когда поддельный PuTTY содержал RAT, который крал SSH-ключи.

5. Подделка обновлений популярных программ

Сценарий, похожий на компрометацию обновлений, но здесь речь идёт об установщике, который
пользователь скачивает вручную.

• вредоносные обновления браузеров;
• поддельные апдейты Java, Flash Player;
• заражённые установщики драйверов.

1. Перепаковка MSI, EXE, APK, DMG

Злоумышленник извлекает файлы из инсталлятора, добавляет вредоносное ПО и запаковывает обратно.

После этого поддельный установщик выглядит совершенно легитимно.

2. Внедрение загрузчиков (dropper)

Чаще всего злоумышленник не вставляет вирус прямо в программу, а внедряет маленький загрузчик,
который скачивает вредоносный модуль с сервера.

• антивирусам сложнее обнаружить;
• можно изменять payload динамически;
• проще скрывать следы.

3. Статическая подмена файлов внутри инсталлятора

Заменяется один или несколько ключевых файлов программы на вредоносные копии.

4. Инжектирование вредоносного кода в существующую программу

Более сложный метод, который требует навыков reverse engineering.

Пример:

• добавление скрытой функции в EXE;
• патчинг DLL;
• встраивание вредоносного скрипта в Python/Java/Node.js приложение.

5. Полная замена пакета

Самый простой сценарий: злоумышленник просто выдаёт другое приложение за оригинальное.

Например:

• скачай «Photoshop бесплатно» → получи троян;
• фальшивый Telegram Desktop на стороннем сайте;
• поддельный Discord с вредоносным кодом.

Самые популярные инструменты:

• MSI-пакетировщики (InstEd, ORCA, Advanced Installer);
• инструменты перепаковки APK (APKTool, Jadx, Smali);
• ресурсные редакторы для EXE/DLL (Resource Hacker);
• скриптовые упаковщики (NSIS, Inno Setup);
• PE-инжекторы (различные вредоносные инструменты);
• загрузчики и криптеры (для обхода антивирусов).

Не обязательно быть программистом — многие инструменты доступны даже новичкам.

1. Подозрительные сайты и домены

Если программа скачана не с официального сайта — это уже тревожный сигнал.

2. Отсутствие цифровой подписи

Легитимные программы почти всегда подписаны цифровым сертификатом.

3. Странный размер файла

Если установщик стал значительно больше или меньше — возможно, его изменили.

4. Непривычное поведение

Например:

• долгий запуск;
• всплывающие ошибки;
• несоответствующие иконки и названия.

5. Антивирус сообщает об угрозе

Многие пользователи игнорируют такие предупреждения — и зря.

Основные рекомендации:

• Скачивайте программы только с официальных сайтов.
• Проверяйте цифровую подпись EXE/MSI/PKG/Deb пакетов.
• Используйте антивирус и мониторинг поведения программ.
• Не скачивайте программы с торрентов и пиратских ресурсов.
• Проверяйте хеш-суммы, если разработчик их публикует.
• Избегайте сторонних APK-файлов.
• Используйте DNS-фильтры и безопасные браузеры.
• Обновляйте антивирусные базы.