DarkCloud Stealer: новая угроза с многоступенчатой атакой и обходом защиты
Источник: unit42.paloaltonetworks.com
В январе 2025 года специалисты из подразделения 42 выявили серию кибератак, связанных с опасной вредоносной программой DarkCloud Stealer. Многоступенчатые методы заражения и продвинутая обфускация делают эту угрозу крайне сложной для обнаружения традиционными антивирусными средствами.
Механизм заражения и распространения
Атаки, использующие DarkCloud Stealer, начинаются, как правило, с фишинговых писем, содержащих вредоносные вложения:
- Архив RAR или поддельный PDF-файл.
- Если жертва открывает PDF, её побуждают скачать архив RAR, замаскированный под обновление программного обеспечения.
- RAR размещается на файлообменных сервисах и содержит автоматически скомпилированный исполняемый файл, а также два зашифрованных файла данных — один со встроенным шелл-кодом и другой с полезной информацией, зашифрованной с помощью XOR.
Исполняемый файл включает в себя скрипт, написанный на AutoIt, который необходим для создания и запуска окончательной полезной нагрузки.
Технические особенности и сложности анализа
Исследователи отмечают, что структура AutoIt PE-файла, скомпилированного для этого вредоносного ПО, серьезно усложняет декомпиляцию. В файл встроен автономный интерпретатор AutoIt и байт-код скрипта, что не позволяет просто проанализировать вредоносное поведение статическими методами.
Кроме того, в процессе загрузки и выполнения используются продвинутые методы обфускации, а наличие дополнительных зашифрованных ресурсов позволяет скрыть большую часть вредоносных функций. Это значительно затрудняет работу аналитиков и автоматизированных систем обнаружения.
Антианализ и целевые объекты атак
После окончательной загрузки DarkCloud Stealer применяет различные методы антианализа, в числе которых:
- Проверка переменных окружения, указывающих на среду анализа или эмуляции.
- Запрос общедоступного IP-адреса для определения геолокации жертвы.
- Систематический поиск и извлечение сохранённых учетных данных из каталогов браузеров.
Недавние кампании показали расширение целей вредоносной программы, которая всё чаще атакует правительственные организации, с активностью в частности в Польше.
Перспективы и рекомендации
Исследователи подразделения 42 подчеркивают, что непрерывная эволюция DarkCloud Stealer, начиная с её появления в 2022 году, демонстрирует растущую сложность и изощренность современных кибератак. В условиях, когда классические средства обнаружения на основе сигнатур оказываются неэффективными, особую важность приобретает:
- Постоянный мониторинг сетевой активности и системных процессов.
- Использование динамического отслеживания и поведенческого анализа.
- Внедрение комплексных стратегий безопасности, нацеленных на выявление многоступенчатых и замаскированных угроз.
DarkCloud Stealer является ярким примером вызовов современного мира кибербезопасности, акцентируя внимание организаций на необходимости адаптации своих защитных механизмов в условиях постоянного изменения ландшафта угроз.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
