СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
30.07.2025
#Dev#ИБ

Анализ VIP-кейлоггера: новая угроза кражи учетных данных

Анализ VIP-кейлоггера: новая угроза кражи учетных данных

Анализ кампании распространения кейлоггера VIP: новые методы атаки и обход защиты

Кейлоггер VIP – одна из самых сложных разновидностей вредоносного ПО, специализирующаяся на краже данных, особенно нацеливаясь на веб-браузеры и учетные записи пользователей. Недавняя кампания злоумышленников демонстрирует заметный отход от прежних методов распространения, используя автоматические инструменты для более эффективного внедрения вредоносной программы.

Способы распространения и заражения

Кампания стартует с рассылки фишинговых писем, в которых злоумышленники прилагают заражённый ZIP-архив с именем «платежная квитанция_usd 86 780,00.pdf.pdf.z». Внутри архива скрывается исполняемый файл под маской официального документа «платежная квитанция_usd 86 780,00 pdf.exe». Открытие этого файла запускает цепочку процессов, ведущих к активации зловреда.

Механизм действия вредоносного ПО

  • Исполняемый файл активирует скрипт автозапуска на языке AutoIt, который удаляет два зашифрованных файла leucoryx и avenes во временную папку.
  • Вредоносные файлы расшифровываются в процессе выполнения с использованием функции XOR, что помогает обходить традиционные антивирусные решения, позволяя запускать вредоносную нагрузку напрямую из памяти.
  • Расшифрованная полезная нагрузка внедряется в легитимный системный процесс RegSvcs.exe посредством техники «опустошения процессов» (process hollowing), что обеспечивает скрытность и минимизирует подозрения со стороны системных защит.
  • Для выполнения кода используется вызов DllCall, который выделяет память и напрямую запускает вредоносную полезную нагрузку.
  • Скрипт .vbs помещается в папку автозагрузки, чтобы гарантировать запуск кейлоггера при каждом входе пользователя в систему. Это обеспечивает постоянную работу вредоносного ПО в фоне.

Функциональность кейлоггера VIP

Основная нагрузка, кейлоггер VIP, ориентирована на:

  • Регистрацию нажатий клавиш (keylogging).
  • Перехват учетных данных из основных браузеров — Chrome, Microsoft Edge и Mozilla Firefox.
  • Отслеживание и копирование содержимого буфера обмена.

Эти возможности позволяют злоумышленникам эффективно собирать конфиденциальную информацию, избегая обнаружения и сохраняя функционирование даже при попытках блокирования.

Заключение

Использование автоматического It-инжектора и сложных методов внедрения кода демонстрирует высокий уровень подготовки киберпреступников. Такой многоступенчатый механизм работы Kейлоггера VIP подчёркивает возросшую угрозу для пользователей и компании, а также необходимость усиления систем защиты и повышения кибергигиены. Подробный анализ кампании предоставляет ценные инсайты для специалистов по кибербезопасности и способствует разработке эффективных мер противодействия.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: