СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
11 января
#ИБ

AuraStealer: стиллер MaaS с продвинутым антианализом и кражей данных

AuraStealer, появившийся как вредоносное ПО по модели «Вредоносное ПО как услуга» (MaaS) и активно продвигаемый с июля 2025 года, сочетает в себе широкий набор функций кражи данных и продвинутые методы запутывания и антианализа. Несмотря на заявленную «сложность» реализации, анализ показал ряд характерных слабых мест, которые позволяют детектировать и блокировать угрозу.

Ключевые факты

  • Платформа разработки: C++.
  • Целевая ОС: Windows (от Windows 7 до Windows 11).
  • Область поражения: кража данных из более чем 110 браузеров, 70 приложений (включая кошельки и средства 2FA) и свыше 250 расширений.
  • Модель распространения: мошеннические кампании типа self-scam — обманные видео-руководства, побуждающие пользователя выполнить команды для загрузки вредоносного содержимого.
  • Коммуникация с оператором осуществляется через проверку доступности DNS-эндпоинта и дальнейший обмен с инфраструктурой C2.

Методы запутывания и антианализа

AuraStealer использует сложную комбинацию техник, направленных на уход от обнаружения как статического, так и динамического анализа:

  • Непрямое запутывание потока управления: прямые переходы и вызовы заменяются косвенными вызовами, что усложняет статический анализ кода.
  • Шифрование строк и exception-driven API hashing, создающее хэш-таблицы подстановки для вызовов Windows API и скрывающее их семантику.
  • Реализация механизма проверки целостности исполняемого файла через контрольные суммы (защита от несанкционированного доступа к бинарнику).
  • Геофильтрация: фильтрация потенциальных жертв по кодам стран — вредоносное ПО не запускается в регионах, перечисленных в черном списке.
  • Проверки на выполнение в защищённых/виртуализированных средах и наличие отладчиков: при обнаружении отклонений выполнение может быть остановлено.
  • Проверки критических функций Windows (включая признаки вмешательства в режим ожидания) — защита от анализа в sandbox-средах.

Цепочка исполнения и поведение

Типичный жизненный цикл AuraStealer включает следующие этапы:

  • Установка пользовательского обработчика исключений.
  • Серия антианалитических проверок (sandbox, VM, debugger, режим ожидания и др.).
  • Создание mutex для предотвращения параллельного выполнения.
  • Поиск возможности доступа к указанному DNS-эндпоинту; при успешном подключении — загрузка файла конфигурации от C2, определяющего цели и поведение.
  • Сбор данных и последующая их отправка небольшими партиями (chunked exfiltration) для затруднения обнаружения трафика.

Техника кражи данных из браузеров и приложений

AuraStealer нацелен на извлечение конфиденциальных данных из Chromium‑based браузеров и множества приложений:

  • Обход Application-Bound Encryption (ABE): вредоносное ПО запускает браузер в headless режиме и внедряет код, получая доступ к расшифрованным данным (пароли, cookie и др.).
  • Целенаправленный парсинг профилей, расширений и хранилищ данных целевых приложений и кошельков.
  • Сбор 2FA‑ключей/данных и сессионных маркеров, что увеличивает риск последующей компрометации аккаунтов и кражи средств.

Слабые места, пригодные для детекции

Несмотря на сложную обфускацию, у AuraStealer есть признаки, которые можно использовать для обнаружения:

  • Характерные последовательности антианалитических проверок и установка нестандартного обработчика исключений.
  • Создание mutex с предсказуемыми паттернами и последующие сетевые обращения к подозрительным DNS-эндпоинтам.
  • Поведение по запуску браузера в headless‑режиме и внедрению кода — корреляция таких действий с операциями по чтению защищённых хранилищ.
  • Фрагментация трафика при эксфильтрации — необычный частый мелкий таргетированный трафик к малозначимым доменам.

«AuraStealer представляет серьёзную угрозу через комбинирование продвинутых методов уклонения и масштабных возможностей таргетинга», — следует из анализа активности образцов.

Рекомендации по защите

Практические меры, которые помогут снизить риск компрометации:

  • Обновите Windows и браузеры до поддерживаемых версий и применяйте патчи безопасности.
  • Ограничьте запуск непрозрачных скриптов и команд от пользователей, особенно полученных через внешние видео/руководства.
  • Внедрите поведенческий EDR с детекцией аномалий: мониторинг создания mutex, установки нестандартных обработчиков исключений и запуска браузеров в headless‑режиме.
  • Блокируйте и мониторьте DNS‑запросы к подозрительным доменам; используйте DNS‑фильтрацию и анализ потоков с учетом chunked‑exfiltration паттернов.
  • Применяйте многофакторную аутентификацию (MFA) и храните криптографические ключи/seed‑фразы в аппаратных хранилищах (hardware wallets) или HSM.
  • Периодически проверяйте целостность критичных бинарников и контролируйте изменения в конфигурациях безопасности.

Вывод

AuraStealer — это серьёзно оснащённый стиллер, который использует современные техники obfuscation и антианализа, а также масштабный набор целей. Тем не менее, его поведение оставляет ряд детектируемых следов, и своевременное внедрение многоуровневых мер защиты (EDR, DNS‑мониторинг, политик запуска и MFA) значительно снижает риск успешной компрометации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: