Chihuahua Infostealer: Современные угрозы кражи браузерных и крипто-данных
Источник: www.picussecurity.com
В апреле 2025 года специалисты по кибербезопасности обнаружили новую многоэтапную вредоносную программу Chihuahua Infostealer, которая в первую очередь нацелена на кражу учетных данных браузеров и данных криптовалютных кошельков. Это вредоносное ПО демонстрирует высокую техническую сложность и использует многоуровневую тактику уклонения от обнаружения, что подчеркивает растущую угрозу для пользователей и организаций.
Особенности архитектуры и механизмы заражения
Процесс инфицирования начинается с запуска жертвой вредоносного скрипта PowerShell, зачастую встроенного в документ. Этот начальный этап представляет собой однострочную программу, которая выполняет декодирование полезной нагрузки, закодированной в Base64, и исполняет её напрямую в памяти, не создавая файлов на диске. Такой подход значительно снижает вероятность обнаружения со стороны антивирусных систем и средств мониторинга.
- PowerShell-скрипты запутаны и передаются через доверенные платформы, например, Google Drive.
- Использование команд с повышенными правами, отключение консоли и обход ограничений профиля пользователя.
- Восстановление закодированной полезной нагрузки в памяти с помощью шестнадцатеричного кодирования для обхода статического анализа.
Методы сохранения активности и обновления
После закрепления в системе вредоносная программа устанавливает запланированные задачи Windows, которые обеспечивают постоянное выполнение и контроль над состоянием заражения. Эти задачи настроены на многократный запуск скрипта, при этом происходит регулярная проверка показателей и получение обновленных полезных данных с резервных командных серверов (C2).
Особое внимание заслуживает метод запуска последнего компонента — он загружается из URL, размещенных в облачном хранилище, и выполняется в памяти с применением .NET reflection, что дополнительно повышает скрытность вредоноса и его устойчивость к обнаружению.
Цели и способы сбора данных
Chihuahua Infostealer нацелен на:
- Извлечение учетных данных браузера по известным путям.
- Поиск и кражу файлов, связанных с расширениями криптовалютных кошельков, включая запутывание идентификаторов расширений Chrome.
- Извлечение токенов сеанса и файлов кошельков при обнаружении совпадений.
Все украденные данные шифруются и передаются по протоколу HTTPS, что обеспечивает их защищённость во время передачи.
Технический анализ и соответствие MITRE ATT&CK
Технический разбор вредоносного ПО показывает, что Chihuahua Infostealer реализует множество тактик, описанных в платформе MITRE ATT&CK:
- Initial Access: фишинговые атаки с использованием вредоносных документов и необходимость взаимодействия пользователя.
- Execution: использование запутанных PowerShell-команд, выполнение кода в памяти (Fileless execution).
- Persistence: запланированные задачи Windows для постоянного контроля и обновления.
- Defense Evasion: отключение консоли, обход профилей пользователя, шифрование и удаление локальных следов.
- Collection: целенаправленный сбор учетных данных браузеров и криптовалютных кошельков.
- Exfiltration: передача данных по HTTPS с последующей очисткой следов.
Заключение
Chihuahua Infostealer — яркий пример эволюции вредоносных программ, превращающихся в более скрытные, модульные и адаптивные инструменты атаки. Его уникальные методы, включая выполнение в памяти, использование легитимных системных ресурсов и постоянное обновление через запланированные задачи, подчеркивают серьезность современных угроз в области информационной безопасности.
Для защиты от подобных угроз необходимо усилить меры безопасности, особенно ориентированные на обнаружение fileless-атак и мониторинг активности запланированных задач. Комплексный подход и своевременный анализ помогут сократить риски и предотвратить утечки конфиденциальных данных.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
