СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
31.08.2025
#Dev#ИБ

Inf0s3c Stealer: анализ кражи информации и методов уклонения

Inf0s3c Stealer: анализ кражи информации и методов уклонения

Источник: www.cyfirma.com

Кратко: Inf0s3c Stealer — сложное вредоносное ПО на основе Python, нацеленное на платформу Windows. Эксперты отмечают его продвинутые возможности сбора информации, механизмы сокрытия и устойчивого закрепления в системе. Анализ показывает, что злоумышленники реализовали в нём целый набор тактик для автоматизированной эксфильтрации критичных пользовательских данных с минимальной видимостью действий.

Что представляет собой Inf0s3c Stealer

Inf0s3c Stealer — 64‑битный переносимый исполняемый файл (PE), созданный на основе Python. Для маскировки и затруднения анализа злоумышленники использовали UPX и PyInstaller, что позволяет скрывать исходный байт‑код Python и методы работы вредоносного модуля. В конструкции программы присутствует универсальный набор функций Windows API, облегчающий работу с файлами, перечисление процессов, манипулирование памятью и доступ к системной конфигурации.

Какие данные собирает

После запуска Inf0s3c Stealer систематически проводит разведку и собирает обширный набор информации о скомпрометированной системе. Среди основных типов собираемых данных:

  • идентификаторы хостов и спецификации процессора;
  • сетевые конфигурации;
  • списки запущенных процессов и снимки экрана;
  • структуры каталогов и содержимое файлов;
  • пароли и данные браузеров: cookies, история посещений;
  • пароли Wi‑Fi;
  • данные криптовалютных кошельков.

Собранные сведения организуются во временный каталог и упаковываются в защищённый паролем архив, что упрощает их извлечение и передачу злоумышленнику.

Методы закрепления и исполнения

Inf0s3c реализует механизмы устойчивого присутствия в системе: изменения автозагрузки при старте Windows и приёмы обхода контроля учётных записей (UAC). При выполнении вредоносное ПО использует команды PowerShell для бесшумного сбора данных, что снижает вероятность привлечения внимания пользователя.

Тактики сокрытия и обхода защиты

Вредоносная программа демонстрирует набор методов уклонения от обнаружения:

  • блокирование доступа к антивирусным веб‑сайтам;
  • проверки на работу в виртуальной среде и определение антивирусов;
  • самоудаление для уменьшения следов присутствия;
  • запаковка и запутывание кода (изменённые наложения, коллизии разделов), характерные для упакованных исполняемых файлов.

Анализ кода и поведения

Статический анализ выявил запутанный код и признаки целенаправленной упаковки — классические техники для затруднения обратной инженерии. Динамический анализ подтвердил, что при запуске Inf0s3c использует PowerShell‑команды для тихой агрегации данных без повышения осведомлённости пользователя.

Кроме того, поведение вредоносного ПО коррелирует с известными общедоступными проектами по вредоносному ПО, что указывает на возможность дальнейших итераций и расширения функциональности и стратегий уклонения в будущих версиях.

«Inf0s3c Stealer иллюстрирует сложность и адаптивную природу современного вредоносного ПО для кражи информации.»

Последствия и оценка риска

Комбинация возможностей по сбору паролей, cookies, данных браузера, Wi‑Fi‑ключей и криптокошельков делает Inf0s3c опасным инструментом для массовой эксфильтрации конфиденциальной информации. Устойчивость в системе и методы сокрытия увеличивают временной разрыв между компрометацией и обнаружением, повышая потенциальный ущерб.

Рекомендации по защите

Чтобы снизить риск успешной компрометации и минимизировать последствия, организациям и пользователям рекомендуется:

  • обеспечить регулярный мониторинг конечных точек и централизованный сбор логов;
  • использовать комплексные средства защиты конечных точек, способные обнаруживать запакованные PE, аномальные вызовы PowerShell и попытки модификации автозагрузки;
  • внедрять принципы минимальных привилегий и контроль использования PowerShell и сторонних интерпретаторов;
  • активировать многофакторную аутентификацию и следить за подозрительной активностью учётных записей;
  • регулярно сохранять и проверять резервные копии данных и иметь отлаженные процедуры реагирования на инциденты.

Вывод

Inf0s3c Stealer — показатель эволюции семейств stealer‑вредоносов: модульная архитектура на Python, использование UPX и PyInstaller, широкие возможности по сбору и упаковке данных делают его серьёзной угрозой для пользователей Windows. Анализ подчёркивает необходимость постоянного наблюдения за поведением конечных точек, своевременного обнаружения аномалий и комплексной политики защиты для противодействия подобным угрозам.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: