СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 15:37
#ИБ

AuraStealer: новый стиллер крадет данные, обходя 2FA и системы защиты

AuraStealer — недавно появившийся stealer информации, атрибутированный группе русскоязычных разработчиков и быстро набирающий популярность на хакерских форумах с июля 2025 года. В ряде кампаний вредоносное ПО демонстрирует расширенные возможности сбора и эксфильтрации данных, что делает его заметным конкурентом таким угрозам, как Rhadamantys и Vidar.

«AuraStealer … набирающий популярность в сфере киберпреступности с момента своего появления на хакерских форумах в июле 2025 года.»

Ключевые особенности и возможности

  • Обширная инфраструктура C2: в распоряжении AuraStealer — 48 доменов C2, которые были перенесены с доменов в другом TLD на .CFD (TLD), что упростило их отслеживание исследователями безопасности.
  • Широкий охват источников данных: сбор конфиденциальной информации возможен из более чем 110 браузеров и 70 приложений, включая криптовалютные кошельки и хранилища 2FA-токенов.
  • Маскировка и сохранение целостности данных: вредоносное ПО извлекает cookie из браузеров на базе Chromium без завершения процессов, благодаря чему cookie остаются нетронутыми.
  • Сложные методы обхода обнаружения: используется обфускация, включая control-flow obfuscation, а также ключи на основе окружения, чтобы предотвратить запуск в распознаваемых изолированных средах (sandbox/VM).
  • Шифрование связи и конфигурации: C2‑каналы шифруются с использованием AES-CBC, а параметры конфигурации (включая хосты C2) также зашифрованы AES, что усложняет перехват и анализ.
  • Техника извлечения данных: в арсенале — использование shellcode для расшифровки и извлечения данных из приложений, особенно password managers и других хранилищ учётных данных, внедрение кода в существующие процессы.
  • Командные интерфейсы и векторы исполнения: активное применение интерфейсов командной строки, в частности PowerShell, что облегчает реализацию и расширение векторов атаки.

Векторы распространения

AuraStealer демонстрирует разнообразие методов доставки и развертывания:

  • социальная инженерия через вредоносные видеоролики на TikTok, которые вводят пользователей в заблуждение и заставляют выполнять опасные команды;
  • использование легитимных процессов и существующих механизмов ОС (living-off-the-land) для скрытого внедрения;
  • возможные дополнительные каналы, характерные для современных stealer‑семейств (фишинг, вредоносные вложения и т.п.).

Поведение против механизмов защиты

Разработчики AuraStealer явно ориентируются на то, чтобы избегать обнаружения как статическими, так и динамическими средствами анализа. Вредоносное ПО:

  • проверяет, запущено ли оно в реальной пользовательской среде, а не в виртуализированной/изолированной среде;
  • использует техники инжекции для работы внутри легитимных процессов;
  • шифрует трафик и данные, передаваемые по HTTP(S), чтобы затруднить мониторинг и блокировку.

Отличия от конкурентов

По сравнению с такими семействами как Rhadamantys и Vidar, AuraStealer выделяется масштабом поддерживаемых источников (больше браузеров и приложений) и усиленной ориентированностью на получение 2FA‑данных и интеграцию с криптокошельками. Постоянные апдейты кода и расширение функциональности указывают на активную разработку и стремление к долгосрочному присутствию в экосистеме киберпреступников.

Рекомендации по защите и минимизации рисков

  • обновляйте браузеры и расширения, используйте официальные версии программного обеспечения;
  • будьте осторожны с командами и скриптами, полученными из сомнительных источников, включая вирусные ролики в TikTok и другие соцсети;
  • ограничьте выполнение PowerShell и других скриптовых сред, внедрите политики Execution Policy и контроль на уровне централизованных инструментов управления;
  • используйте многофакторную аутентификацию, предпочтительно с аппаратными ключами (FIDO2/U2F), а не только SMS или программными токенами;
  • внедрите EDR/NGAV‑решения, способные обнаруживать поведенческие индикаторы инжекции процессов и нестандартные сетевые паттерны;
  • блокируйте или мониторьте подозрительные TLD/домены, уделите внимание доменам .CFD в контексте текущих инцидентов;
  • регулярно резервируйте и вращайте критические учетные данные, контролируйте сессии и токены доступа.

Вывод

AuraStealer представляет собой значительную и растущую угрозу: сочетание обширного охвата приложений, продвинутых техник обхода защит и активной инфраструктуры C2 делает его опасным инструментом в арсенале киберпреступников. Профилактика, мониторинг и своевременное обновление защитных механизмов остаются ключевыми мерами для снижения рисков.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: