Lazarus использует троян Blank Grabber через уязвимость WinRAR CVE-2025-8088
Исследователи выявили новую кампанию угроз, в которой группа Lazarus, идентифицированная как APT-C-26, распространяет вредоносное ПО под названием Blank Grabber. Злоумышленники используют уязвимость в WinRAR — CVE-2025-8088 — чтобы под видом безобидного архива заставить жертв извлечь и запустить вредоносный код.
Ключевые выводы
- Атака начинается с замаскированного RAR-файла, который выглядит как набор инструментов или утилит.
- После извлечения запускается скрипт, инициирующий загрузку и установку трояна Blank Grabber.
- Троян предназначен для похищения конфиденциальных данных: паролей, cookie, данных автозаполнения браузеров на основе Chromium, сессий в Discord и Telegram, а также закрытых ключей из криптокошельков.
- Blank Grabber способен извлекать приватные ключи из более чем 20 популярных кошельков, включая MetaMask, Exodus и Electrum.
- Последствия включают финансовые потери и несанкционированный доступ к личным и корпоративным активам.
Как работает атака
«Методология этой атаки заключается в представлении вредоносного файла RAR, замаскированного под безобидный набор инструментов, чтобы побудить жертв загрузить его.»
Ключевые этапы кампании:
- Формирование вредоносного RAR-архива, замаскированного под полезный контент.
- Эксплуатация уязвимости CVE-2025-8088 в WinRAR или просто обман пользователя с запуском скрипта после распаковки.
- Скрипт загружает и запускает Blank Grabber.
- Троян собирает данные с устройства и отправляет их злоумышленникам.
Что конкретно крадёт Blank Grabber
- Пароли и данные автозаполнения из браузеров на базе Chromium.
- Cookie и сессионные токены, что позволяет перехватывать доступ к аккаунтам в Discord и Telegram.
- Приватные ключи и seed-фразы из более чем 20 криптокошельков, включая MetaMask, Exodus и Electrum, — напрямую угроза финансовым активам жертв.
Риски и последствия
Комбинация эксплойта уязвимости в популярном архиваторе и целенаправленного сбора криптовалютных ключей делает эту кампанию особенно опасной. Потеря приватных ключей ведёт к безвозвратному выводу средств, а кража сессионных данных и паролей — к проблемам для личных пользователей и корпоративных систем. Для организаций такая атака может означать утечку корпоративных учетных данных, компрометацию коммуникаций и финансовые убытки.
Рекомендации по защите
- Немедленно установить обновления и патчи для WinRAR, особенно исправления для CVE-2025-8088.
- Не распаковывать и не запускать содержимое от неизвестных отправителей; проявлять осторожность при получении RAR-файлов.
- Использовать корпоративные EDR/AV-решения, которые обнаруживают поведенческие индикаторы загрузчиков и снэферов.
- Ввести политику минимальных привилегий и контроль запуска скриптов (script control) на рабочих станциях.
- Для владельцев криптовалют: использовать аппаратные кошельки (hardware wallets) и хранить основные средства в холодных хранилищах; при подозрении на компрометацию — перевести активы на безопасный кошелек и сменить учетные данные.
- Проверить и, при необходимости, завершить активные сессии и двухфакторную аутентификацию в сервисах вроде Discord и Telegram.
- Обновить браузеры и расширения, очистить cookie и данные автозаполнения при подозрении на компрометацию, сменить пароли и включить MFA где возможно.
Акторы
Атаку приписывают группе Lazarus, известной в сообществе как APT-C-26. Эта группа неоднократно фигурировала в расследованиях целевых кибератак; обнаруженная кампания подтверждает их интерес к финансовым целям и кражам криптоактивов.
Выявленная кампания подчёркивает необходимость сочетания технических мер (патчи, EDR, контроль исполнения) и человеческой бдительности. Своевременное обновление ПО и повышение осведомлённости пользователей остаются ключевыми факторами предотвращения подобных атак.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
