Анализ PupkinStealer: новая угроза кражи данных через Telegram

В апреле 2025 года была обнаружена новая вредоносная программа — PupkinStealer, представляющая собой infostealer на базе .NET, нацеленную на кражу конфиденциальной информации у пользователей Windows. Это программное обеспечение выделяется своей простотой использования и эффективностью в добыче паролей и токенов из популярных приложений, а передача данных осуществляется посредством Telegram, что значительно затрудняет обнаружение атаки.

Особенности PupkinStealer и методы распространения

PupkinStealer ведёт активную охоту за конфиденциальной информацией, в частности:

• Сохранённые пароли веб-браузеров, преимущественно на базе Chromium;
• Токены сеансов приложений Telegram и Discord;
• Скриншоты экрана и другие данные, которые могут быть полезны злоумышленникам.

Распространение вредоносного ПО происходит через социальную инженерию — фишинговые письма и загрузку троянских программ. Запускается PupkinStealer вредоносным exe-файлом, который совместим как с 32-, так и с 64-разрядными версиями Windows.

Принцип работы и технические детали

Главной технической особенностью PupkinStealer является его подход «взломай и захвати». Вредоносное ПО:

• Не создаёт механизмы сохранения на заражённом устройстве, что исключает выживание после перезагрузки или завершения процесса;
• Одновременно запускает несколько задач, быстро извлекая данные всего за несколько секунд;
• Агрессивно отключает процессы браузеров и мессенджеров, чтобы получить доступ к базам данных без препятствий;
• Использует API учетных данных для расшифровки информации из SQLite-баз браузеров;
• Сохраняет украденные логины и пароли во временных текстовых файлах перед отправкой.

Уникальный способ передачи похищенной информации — через Telegram Bot API. Вредоносная программа формирует ZIP-архив с украденными данными и отправляет его в приватный чат злоумышленника. Благодаря использованию протокола HTTPS трафик выглядит как обычный веб-трафик, что снижает вероятность обнаружения.

Происхождение и влияние на уровень угроз

Судя по коду, PupkinStealer во многом напоминает популярные проекты с открытым исходным кодом, например, StormKitty, что указывает на возможное использование заимствованных наработок. По данным анализа, вредоносное ПО создано российскими киберпреступниками и ориентировано на широкий круг пользователей Windows — от новичков до более опытных хакеров, благодаря простоте настройки и эксплуатации.

Рекомендации по противодействию и защите

Для эффективной защиты от угроз, исходящих от PupkinStealer, организациям рекомендуется использовать комплексный подход:

• Обучение сотрудников распознаванию фишинговых атак и опасных писем;
• Внедрение надежных систем фильтрации электронной почты и веб-сайтов;
• Использование современных средств защиты конечных устройств с функциями обнаружения подозрительного поведения;
• Применение контроля приложений, ограничивающего выполнение программ в рискованных каталогах.

Особое внимание следует уделить мониторингу выполнения процессов и сетевого трафика в реальном времени, особенно активности, связанной с Telegram API, что позволит вовремя выявить попытки передачи данных злоумышленникам.

В случае выявления заражения критично быстро изолировать хост, произвести сброс учетных данных и провести тщательное сканирование системы для исключения последующих угроз.

Заключение

PupkinStealer представляет собой современный вызов для кибербезопасности, объединяя в себе технологическую простоту, высокую скорость эксплуатации и эффективные средства обхода обнаружения. Адекватная подготовка и своевременное реагирование — ключевые факторы в борьбе с такими угрозами.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.