MaskGram Stealer скрывает C2 в Telegram и Steam

Технология Dead Drop Resolver (DDR) стремительно набирает популярность в среде вредоносного ПО, и одним из наиболее показательных примеров этого подхода стал MaskGram Stealer. Исследователи отмечают, что злоумышленники всё чаще используют легитимные online-сервисы как скрытые каналы для размещения и получения параметров C2, что заметно усложняет обнаружение, анализ и блокировку подобных кампаний.

Как работает DDR и зачем он нужен

Вместо того чтобы жестко встраивать адреса командования и контроля в код вредоносного ПО, MaskGram извлекает их из общедоступного контента — профилей, комментариев и других метаданных. Такой подход делает инфраструктуру менее заметной и одновременно затрудняет атрибуцию: защитным решениям сложнее построить устойчивые сигнатуры, а аналитикам — установить полный контур кампании.

Особенность DDR в том, что злоумышленник может менять источник данных без существенной переработки самого malware. Если один ресурс перестает быть доступным, вредоносное ПО автоматически переходит к запасным площадкам и продолжает поиск нужного адреса C2.

Мультиплатформенная схема MaskGram

MaskGram Stealer представляет собой более сложную реализацию этой техники. По данным отчета, он использует сразу несколько публичных платформ, включая Steam и Telegram, чтобы извлекать конфигурации C2. Такая распределенная модель делает вредоносную инфраструктуру устойчивее: потеря одного источника не приводит к остановке всей цепочки.

После извлечения данных применяется постобработка — строки нормализуются и декодируются, после чего вредоносное ПО получает необходимый домен C2 и рабочие параметры для связи с оператором.

Что собирает вредоносное ПО

Связь с C2 реализуется через библиотеку WinHTTP, а на раннем этапе взаимодействия вредоносное ПО может отправлять на сервер управления сведения об окружении для профилирования жертвы. Как правило, в такой пакет входят:

• системные specifications;
• запущенные processes;
• installed applications;
• user data;
• credentials из браузеров на базе Chromium;
• данные крипто-кошельков;
• профили клиентов электронной почты.

Такой набор позволяет злоумышленникам быстро оценить ценность зараженной системы и подготовить дальнейшие действия — от кражи учетных данных до последующего развития атаки.

Механизмы защиты и модульность

MaskGram Stealer также включает механизмы противодействия обнаружению, скрывающие его активность от средств защиты. Кроме того, по команде C2 он способен загружать дополнительные malicious modules, что делает его архитектуру модульной и гибкой.

Подобная конструкция особенно опасна тем, что позволяет не ограничиваться одним сценарием атаки: оператор может расширять функциональность по мере необходимости, не заменяя основной компонент вредоносного ПО.

Как распространяется MaskGram

Стратегия распространения во многом строится на social engineering. Дополнительный канал — взломанные программные инструменты, известные как controllers, которые используются для проверки украденных учетных данных на соответствие leaked databases.

Наличие таких бесплатных инструментов снижает порог входа для потенциальных злоумышленников. Иными словами, даже те, кто ранее не решался запускать подобные кампании, получают готовую инфраструктуру для проверки и использования похищенных данных.

Почему это важно для киберзащиты

MaskGram Stealer наглядно демонстрирует переход к более сложным и децентрализованным схемам управления malware. Использование легитимных служб в качестве тайников для оперативных параметров повышает живучесть угрозы, усложняет блокировку C2 и делает традиционные подходы к детектированию менее эффективными.

В условиях, когда злоумышленники всё активнее опираются на публичные платформы и гибкие механизмы резервирования, защите приходится ориентироваться не только на сигнатуры, но и на поведенческий анализ, мониторинг аномалий и выявление скрытых цепочек взаимодействия.