СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
9 февраля
#ИБ

LTX Stealer: уклонение и кража учётных данных через Inno Setup

Появившийся отчёт описывает изощрённое вредоносное ПО под названием LTX Stealer, которое предназначено для кражи учётных данных и демонстрирует всё более распространённую тактику злоумышленников — сокрытие вредоносной полезной нагрузки внутри легитимных программных фреймворков и сред выполнения.

Краткое изложение инцидента

LTX Stealer — это вредоносное ПО для Windows, доставляемое через инсталлятор Inno Setup. Вредоносный пакет содержит полную среду выполнения Node.js, что позволяет запускать вредоносные скрипты в «доверенной» среде и маскировать вредоносную активность. Сам исполняемый файл упакован под именем Negro.exe, при этом в его встроенных метаданных прямо указана связь с LTX Stealer, что вызывает вопросы о его происхождении и намерениях автора.

Технологии и тактики

Ключевые технические особенности LTX Stealer, отмеченные в отчёте:

  • Запрос прав администратора при запуске, позволяющий выполнять привилегированные и деструктивные операции;
  • Запись основной полезной нагрузки в каталоги, имитирующие легитимные компоненты Microsoft, для затруднения обнаружения;
  • Использование полной среды выполнения Node.js внутри пакета, что даёт возможность запускать JavaScript-код в штатной среде;
  • Методы обфускации: расшифровка во время выполнения и компиляция байт-кода JavaScript, усложняющие реверс-инжиниринг;
  • Упаковка установщика с помощью Inno Setup, что затрудняет статический анализ и извлечение полезной нагрузки.

Распространение и мотивация разработчика

Самый ранний известный образец LTX Stealer был загружен на платформу с открытым исходным кодом 10 января 2026 года. Отчёт указывает, что разработчик подчёркивал нулевое обнаружение антивирусами как демонстрацию возможностей уклонения. Это свидетельствует о целенаправленном подходе к разработке вредоносного ПО с акцентом на обход систем защиты.

«Использование runtime-обфускации и компиляции JavaScript-байт-кода подчёркивает преднамеренное намерение скрыть вредоносные действия и затруднить обратную разработку», — отмечает отчёт.

Индикаторы компрометации и средства детекции

Для обнаружения связанных с LTX Stealer компрометаций в отчёте приведено правило YARA, которое идентифицирует характерные сигнатуры исполняемых файлов и сетевых доменов, используемых инфраструктурой. Среди ключевых индикаторов, на которые стоит обратить внимание:

  • Исполняемый файл с именем Negro.exe и соответствующие метаданные;
  • Наличие встроенной среды Node.js в инсталляторе;
  • Использование инсталляторов Inno Setup для доставки вредоносной нагрузки;
  • Признаки runtime-обфускации и компиляции JavaScript-байт-кода;
  • Сетевые домены и артефакты, сопутствующие инфраструктуре (описаны в YARA-правиле).

Рекомендации по снижению риска

На фоне выявленных техник и методов эксперты рекомендуют следующие практики защиты:

  • Ограничивать привилегии: применять принцип наименьших прав для учётных записей и процессов;
  • Контролировать установщики: внедрять проверку целостности и белые списки для инсталляторов (Inno Setup и др.);
  • Мониторинг среды выполнения: отслеживать необычную активность процессов Node.js в окружениях, где их не ожидают;
  • Анализ и защита артефактов: использовать YARA-правила и поведенческий анализ для выявления обфусцированных или саморазворачивающихся приложений;
  • Постоянный мониторинг и обмен индикаторами: оперативно распространять сведения об обнаруженных сигнатурах и доменах.

Значение для отрасли

LTX Stealer иллюстрирует тенденцию, когда злоумышленники используют легитимные платформы и среды выполнения для маскировки вредоносной активности, что усложняет задачу детекции традиционными средствами. Комбинация привилегий на целевой машине, имитации легитимных компонентов и продвинутых методов обфускации делает такие семейства вредоносного ПО высокоэффективными в реальных атаках.

Организациям следует рассматривать LTX Stealer как напоминание о необходимости многоуровневой защиты: технических средств, процессов и оперативного обмена информацией об угрозах.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: