Введение
Стилеры — это вредоносное ПО для сбора учетных данных с целью их последующей продажи в даркнете или проведения кибератак в будущем. Злоумышленники активно распространяют зловреды этого типа, причем некоторые из них доступны по
Для просмотра ссылки необходимо нажать
Вход или Регистрация
, что привлекает новичков. По данным сервиса Kaspersky Digital Footprint Intelligence, в 2023 году почти 10 миллионов устройств, персональных и корпоративных,
Для просмотра ссылки необходимо нажать
Вход или Регистрация
с использованием стилеров. Однако реальное количество атакованных устройств может быть еще больше, поскольку не все операторы стилеров публикуют данные сразу после кражи.За этот год мы проанализировали довольно много уже известных и новых стилеров, о чем подробно рассказали в наших закрытых отчетах. Ниже приводим выдержки из них.
Kral
В середине 2023 года мы обнаружили загрузчик Kral, который в то время использовался для распространения стилера Aurora. Однако в феврале этого года нам на глаза попался новый стилер Kral, который мы отнесли к тому же семейству вредоносных программ, что и загрузчик: на это указывает определенное сходство кода.Стилер Kral доставляется исключительно загрузчиком Kral. Сам загрузчик проникает на устройство пользователя, когда тот посещает сайт для взрослых, на котором размещена вредоносная реклама. Рекламное объявление перенаправляет жертву на фишинговую страницу, где ей предлагают скачать файл. Это и будет загрузчик Kral. Изначально, в 2023 году, код загрузчика был написан на комбинации C++ и Delphi, в результате чего размер образцов был довольно большим. Теперь же загрузчик написан исключительно на C++, благодаря чему размер полезной нагрузки уменьшился в 10 раз.
Стилер Kral в некотором роде схож с загрузчиком. Оба файла подписаны и используют одну и ту же функцию для проверки целостности бинарных файлов ( WinVerifyTrust()). Кроме того, в них используется один и тот же ключ для шифрования строк. И что не менее важно, имя Kral фигурирует в путях к файлам PDB обоих бинарных файлов.
Сам стилер проявляет особый интерес к криптовалютным кошелькам и данным браузера. По пути C:\ProgramData\ создается папка со случайным именем, в которую сохраняются украденные данные, а также информация о системе (местное время, часовой пояс, сведения о процессоре и т. д.). Затем папка архивируется и отправляется на командный сервер с использованием COM-интерфейса Background Intelligent Transfer Service (BITS).
Стилер собирает данные только один раз. Однако если пользователь запустит его снова, сбор данных будет произведен повторно.
AMOS
Впервые
Для просмотра ссылки необходимо нажать
Вход или Регистрация
, нацеленный на macOS был замечен в начале 2023 года. В июне 2024 года мы обнаружили новый домен, распространяющий это вредоносное ПО под видом менеджера пакетов Homebrew. После более глубокого исследования мы выяснили, что пользователи попадают на этот сайт через вредоносную рекламу.
Для просмотра ссылки необходимо нажать
Вход или Регистрация
Поддельный сайт Homebrew
Как видно на изображении выше, доступно два варианта установки вредоносной программы. Можно сразу загрузить зараженный DMG-образ или же воспользоваться установочным скриптом.
Скрипт довольно простой. Он загружает вредоносный образ и устанавливает его, после чего загружает и устанавливает легитимный пакет Homebrew. Если же пользователь скачивает DMG-файл, то отображается следующий экран:
Для просмотра ссылки необходимо нажать
Вход или Регистрация
DMG-файл с вложенными файлами
Как можно видеть, пользователя вводят в заблуждение, заставляя думать, что он запускает приложение Homebrew, хотя на самом деле это стилер AMOS. При старте запускаются несколько экземпляров терминала и bash-скрипты. Они начинают собирать информацию о системе и создавать новые скрытые файлы истории сеансов.
Стилер также прибегает к нестандартной уловке, чтобы заполучить логин и пароль пользователя macOS. Вместо того чтобы регистрировать нажатия клавиш, вредоносная программа выводит на экран фальшивые диалоговые окна с просьбой ввести учетные данные.
Vidar / ACR
Злоумышленники распространяют стилер Vidar через комментарии на YouTube, где они размещают ссылку на ZIP- или RAR-архив, хранящийся на одной из файлообменных платформ, причем платформа меняется каждую неделю. Архив защищен паролем, но этот пароль хранится по тому же адресу, что и архив.
Для просмотра ссылки необходимо нажать
Вход или Регистрация
Содержимое облачного хранилища
Внутри архива находится еще один защищенный паролем архив, содержащий следующие файлы:
- converter.exe — легитимное приложение ImageMagick;
- vcomp100.dll — вредоносная DLL, используемая для реализации техники подмены DLL;
- bake.docx — зашифрованный загрузчик первого этапа;
- blindworm.avi — загрузчик IDAT loader, полезная нагрузка второго этапа.
Легитимное приложение converter.exe содержит уязвимость, позволяющую подменять DLL. При запуске это приложение загружает vcomp100.dll. После этого вредоносная библиотека считывает зашифрованный файл bake.docx, получает полезную нагрузку и ключ по заданному смещению, а затем расшифровывает эту полезную нагрузку.
Полученный файл является вариантом загрузчика Penguish, содержащим образец, упакованный в виде чанка IDAT. Это означает, что мы можем использовать
Для просмотра ссылки необходимо нажать
Вход или Регистрация
и извлечь конечную полезную нагрузку, которой является стилер Vidar.Примечательно, что вместо кражи данных Vidar просто загружает стилер ACR. Как и многие другие стилеры в наши дни, он нацелен на данные браузера и кошельки. Vidar обычно охотится за теми же типами данных, однако в данном случае он использует ACR для их эксфильтрации.
Согласно нашей телеметрии, большинство жертв находятся в Бразилии.
Заключение
Стилеры встречаются повсюду и пользуются большой популярностью среди злоумышленников. Украденные данные могут использовать для дальнейших атак или же продавать их в даркнете. Несмотря на то что стилеры нацелены в первую очередь на кражу криптовалютных данных, утечка учетных данных может нанести не меньший (или даже больший) вред, особенно если эти учетные данные используются для доступа к корпоративным сетям. Не исключено, что в дальнейшем они будут использованы в атаках шифровальщиков.При этом стоит отметить, что такие относительно простые меры, как двухфакторная аутентификация, использование уникальных паролей, загрузка программ только с официальных сайтов и тщательная проверка адреса сайта перед началом загрузки, могут значительно затруднить подобные атаки.
Для просмотра ссылки необходимо нажать
Вход или Регистрация