0bj3ctivityStealer: новая угроза с расширенными методами кражи данных

0bj3ctivityStealer — недавно обнаруженная сложная вредоносная программа, предназначенная для кражи данных из различных приложений, демонстрирующая расширенные технические возможности и хитрые методы обхода защиты. Этот stealer выделяется не только многоступенчатым механизмом заражения, но и продвинутыми методами обфускации, которые позволяют ему эффективно уклоняться от средств анализа и обнаружения.

Механизм заражения и особенности распространения

Основным вектором атаки 0bj3ctivityStealer является фишинговая рассылка с электронными письмами, которые содержат заманчивые темы и поддельные заказы на покупку. Переход по вредоносной ссылке приводит жертву к размещенному в облаке файлу JavaScript, который:

• Является сильно запутанным (обфусцированным) и содержит минимальный необходимый код;
• После выполнения загружает из Интернета изображение формата JPG, скрывающее следующий этап вредоносного ПО с помощью стеганографии;
• Использует скрипт PowerShell для извлечения полезных данных из этого изображения, считывая значения пикселей;
• Незаметно разворачивает сам stealer через загрузчик.

Техника обхода защиты и скрытности

Одной из отличительных черт 0bj3ctivityStealer являются сложные методы обфускации, включающие:

• Внедрение нежелательного («мусорного») кода;
• Использование рандомизированных имён функций для затруднения статического анализа;
• Проверки на наличие виртуальных машин и отладчиков, при обнаружении которых вредонос прекращает работу.

Такое поведение ярко указывает на _желание избежать анализа_ и _минимизировать внимание со стороны исследователей и антивирусных систем во время выполнения_.

Цели атаки и украденные данные

После активации 0bj3ctivityStealer выполняет сбор обширной системной информации и нацеливается на конфиденциальные данные из следующих источников:

• Веб-браузеры, включая версии на базе Chromium и Gecko;
• Приложения для обмена мгновенными сообщениями;
• Почтовые клиенты;
• Криптовалютные кошельки.

Особенностью является то, что stealer извлекает сохранённые учетные данные и соответствующие файлы без попыток их расшифровки, особенно если используются методы шифрования.

Канал коммуникации и география атак

Основным каналом передачи собранных данных служит Telegram, через который 0bj3ctivityStealer отправляет информацию на командный сервер в одном направлении. При этом у вредоноса есть встроенные SMTP-возможности, но они были отключены в последних образцах.

Анализ обнаружения вредоносного ПО показывает его активность в различных регионах, с повышенной активностью в:

• Соединённых Штатах;
• Германии;
• Черногории.

Это говорит скорее о оппортунистическом подходе, нежели о целевых, прицельных кампаниях.

Влияние и рекомендации по защите

0bj3ctivityStealer является показателем современной эволюции угроз в сфере кражи информации, которая характеризуется сложными методами распространения и широким спектром тактик, включая фишинг, пользовательские PowerShell-скрипты и стойкие методы обхода защиты.

Угроза оказывает значительное воздействие на критически важные секторы, такие как государственное управление и промышленное производство. Это подчёркивает потенциальный риск серьёзных утечек данных и требует повышенного уровня внимания со стороны организаций.

Эксперты рекомендуют:

• Усилить мониторинг электронной почты для выявления фишинговых сообщений;
• Контролировать запуск скриптов PowerShell и ограничивать права пользователей;
• Использовать современные средства обнаружения обфусцированного кода и анализа поведения;
• Обучать сотрудников основам кибергигиены и распознаванию подозрительных сообщений;
• Регулярно обновлять системы безопасности и проводить аудит уязвимостей.

_0bj3ctivityStealer_ — ещё одно напоминание о том, что современные угрозы требуют комплексных и проактивных мер безопасности для защиты данных и инфраструктуры.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.