СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
8 мая
#ИБ

Hologram: Rust-стиллер атакует браузерные расширения и кошельки

Исследователи кибербезопасности описывают кампанию Hologram, связанную с установщиком OpenClaw, как сложную и хорошо подготовленную вредоносную операцию. В ее основе — поддельный установщик, который доставляет Rust-based stealer, способный атаковать более 250 browser extensions, включая криптокошельки и password managers.

По данным отчета, вредоносное ПО представляет собой крупный 130 MB executable с именем OpenClaw_x64.exe. Его архитектура специально рассчитана на обход автоматизированных средств защиты и затруднение анализа в корпоративной среде.

Как работает OpenClaw

Кампания использует несколько слоев доставки и скрытности. Дроппер управляется через легитимные сервисы, включая Azure DevOps и Telegram, что позволяет ему маскировать активность под обычный сетевой трафик и обходить системы обнаружения.

После запуска Hologram применяет набор техник уклонения, ориентированных на sandbox detection. В частности, вредоносное ПО требует реальных движений мыши и проводит комплексные проверки на наличие VM signatures перед тем, как перейти к выполнению вредоносных действий.

Отключение защиты и закрепление в системе

Если проверка среды проходит успешно, вредоносное ПО разворачивает встроенный PowerShell payload, который отключает механизмы безопасности, включая Windows Defender. Затем оно загружает дополнительные payloads второго этапа и размещает их, в том числе, в каталоге C:UsersPublic.

Для сохранения присутствия в системе оператор применяет несколько стратегий persistence. Среди них — сложные механизмы закрепления, включая перехват WinLogon Userinit. Такой подход позволяет вредоносному ПО сохраняться даже после удаления отдельных компонентов.

Модульная архитектура и кража данных

Фреймворк Hologram состоит как минимум из шести модульных бинарных файлов, каждый из которых отвечает за отдельную функцию. Такая структура повышает гибкость атаки и усложняет противодействие.

  • reflective loading PE files;
  • кража учетных данных разными способами;
  • механизмы закрепления в системе;
  • загрузка .NET assemblies в памяти с помощью Rust dependency clroxide.

Использование clroxide для загрузки .NET assemblies в memory обычно характерно для advanced persistent threats и указывает на высокий уровень технической подготовки операторов.

C2-инфраструктура и скрытность управления

Кампания использует двухканальную C2 architecture. Изначально адреса command-and-control поступают из канала в Telegram, один из которых связан со скомпрометированной бразильской юридической фирмой.

Hologram может оперативно переключать C2-связь благодаря динамическим обновлениям, что помогает обходить блокировки и затрудняет анализ инфраструктуры. Дополнительно трафик маршрутизируется через Hookdeck — relay service, скрывающий истинный backend и повышающий анонимность оператора.

Динамическое целеполагание и угроза для браузерных данных

Отдельного внимания заслуживает manifest целевой ориентации malware, который динамически перечисляет browser extensions для кражи. Это позволяет оператору без recompilation быстро менять набор целей и актуализировать возможности по краже credentials.

Таким образом, Hologram представляет собой не просто очередной stealer, а гибкий и адаптивный инструмент, рассчитанный на длительную скрытную работу. Сочетание multi-stage delivery, robust persistence и polymorphic traits делает кампанию особенно опасной для организаций, использующих browser extensions и cloud-connected workflows.

Почему эта кампания важна

Отчет показывает заметную эволюцию криминального ПО на базе Rust. Hologram демонстрирует, как современные атакующие комбинируют легитимную инфраструктуру, модульную архитектуру и сложные методы evasion, чтобы повысить эффективность атак и снизить вероятность обнаружения.

Несмотря на усилия средств advanced threat defense, advanced persistence и полиморфные свойства Hologram создают устойчивые вызовы для специалистов по кибербезопасности. В подобных кампаниях особенно важны мониторинг нестандартной активности, контроль browser extensions и своевременное выявление подозрительных каналов C2.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: