Katz Stealer: анализ сложной угрозы кражи учетных данных

Современные киберугрозы становятся все более изощренными, что требует от специалистов по кибербезопасности непрерывного анализа их методов и тактик. Одним из ярких представителей нового поколения вредоносов является Katz Stealer — сложная вредоносная программа, распространяемая как Malware-as-a-Service, предназначенная для кражи конфиденциальных данных из широкого спектра приложений и браузеров.

Методы заражения и этапы атаки

Katz Stealer использует многогранный подход к заражению пользователей. Основные векторы атаки включают:

• фишинговые электронные письма;
• распространение через обманное программное обеспечение;
• манипулирование результатами поиска для побуждения пользователя перейти по вредоносной ссылке.

При заражении начинается сложная цепочка, которая включает:

• вредоносный JavaScript, скрытый в сжатых файлах формата gzip;
• запуск запутанного скрипта PowerShell, маскирующего свое истинное назначение с помощью base64 кодирования;
• загрузку и выполнение .NET загрузчика, внедряющего компонент stealer в легитимные системные процессы.

Цели и методы кражи данных

Katz Stealer фокусируется на извлечении широчайшего спектра конфиденциальной информации. Среди основных целей — популярные веб-браузеры и приложения:

• браузеры Chrome, Edge, Brave, Firefox, где украдываются сохранённые пароли, cookies и токены сеанса;
• приложения-кошельки и почтовые клиенты, включая Outlook;
• платформы обмена сообщениями, такие как Discord и Telegram.

Особое внимание вызывает способность вредоноса модифицировать встроенный JavaScript в приложениях типа Discord, что позволяет сохранять скрытность при выполнении вредоносных действий.

Помимо украденных учетных данных, Katz Stealer производит сбор сетевой разведывательной информации, включая:

• учетные данные Wi-Fi;
• настройки и конфигурации VPN.

Механизмы обхода обнаружения

Одним из ключевых факторов, делающих Katz Stealer особенно опасным, является его развитая система уклонения от детектирования:

• использование геолокационного фильтра, ограничивающего исполнение вредоносного кода в определённых регионах — программа завершает работу при обнаружении систем с языковыми настройками и раскладками клавиатуры стран СНГ;
• обнаружение и игнорирование виртуальных машин, что препятствует анализу и исследованию в изолированных средах;
• техника «опустошения» (process hollowing): внедрение вредоносной полезной нагрузки в доверенные процессы, такие как MSBuild, для обхода систем обнаружения и контроля;
• постоянное установление TCP-соединения с C2 сервером с использованием уникального User-Agent, что облегчает загрузку дополнительных модулей и эксфильтрацию данных.

Сферы сбора информации и эксфильтрация

Помимо учётных данных, вредонос также способен захватывать:

• информацию о кредитных картах;
• файлы конфигураций различных приложений;
• скриншоты с заражённой системы.

Собранные данные передаются злоумышленникам через защищённое соединение, что значительно осложняет их перехват.

Детектирование и предотвращение атак

Для выявления и предотвращения заражения Katz Stealer используются несколько подходов:

• мониторинг аномальных исходящих сетевых подключений;
• поиск известных имен файлов, таких как received_dll.dll;
• анализ активности процессов, связанных с обходом контроля учётных записей (cmstp.exe и другие аналоги).

Кроме того, разработано множество открытых правил YARA и Sigma, позволяющих эффективно распознавать данный вредоносный код и его аналоги на разных этапах атаки.

Заключение

Katz Stealer представляет собой яркий пример современной, комплексной киберугрозы с продвинутыми возможностями по сбору данных и обходу защиты. В условиях постоянного совершенствования вредоносного ПО именно комплексный подход к мониторингу, своевременному обновлению средств защиты и применению новых методов анализа трафика и процессов становится залогом эффективной защиты от подобных атак.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.