СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
16.04.2025
#Dev#ИБ

Новая угроза: TROX Stealer — вредоносное ПО для кражи данных

Новая угроза: TROX Stealer 8212 вредоносное ПО для кражи данных

В последние месяцы кибербезопасность встряхнула новость о вредоносной программе TROX Stealer. Учитывая<br> её поддержку в формате Malware-as-a-Service (MaaS) и нацеливание на частных лиц, этот инструмент для кражи информации вызывает тревогу у экспертов по безопасности и пользователей.

Как работает TROX Stealer

TROX Stealer, активно распространяемый с апреля 2024 года, использует срочные фишинговые атаки, в первую очередь по электронной почте. Эти email-рассылки, как правило, связаны с:

  • взысканием долгов;
  • судебными разбирательствами;
  • срочными сообщениями, чтобы привлечь внимание жертв.

Основная цель программы — извлечение конфиденциальной информации, включая:

  • сохраненные данные кредитных карт;
  • учетные данные браузера;
  • криптовалютные кошельки;
  • файлы сеансов из приложений, таких как Discord и Telegram.

Технические аспекты TROX Stealer

Установка TROX Stealer начинается с перехода по ссылке в письме на исполняемый файл размером 21 МБ, созданный с использованием Nuitka, который преобразует скрипты Python в приложения, совместимые с Windows. Этот файл затем:

  • извлекает дополнительные файлы в временную папку;
  • запускает исполняемый файл с вводящим в заблуждение именем, например, DebtCollectionCase1751448.exe.

Вредоносная программа использует методы обфускации, включая:

  • интенсивное использование нежелательного кода;
  • сложное многоэтапное выполнение.

Эти меры затрудняют аналитикам проведение обратного анализа.

Мониторинг и обнаружение угрозы

После установки TROX Stealer собирает данные о системном профиле и отправляет их на заранее определенные IP-адреса. Среди них выделяется адрес 89.185.82.34, который связан с несколькими вредоносными операциями. Известные методы вывода данных включают:

  • извлечение и загрузка конфиденциальной информации через GoFile;
  • использование аккаунтов разработчика в Telegram.

Примечательно, что TROX Stealer использует общедоступные репозитории GitHub для размещения вредоносных исполняемых файлов, что увеличивает его шансы избежать обнаружения.

Заключение

Методы проникновения этой вредоносной программы отражают общеизвестные риски, связанные с кражей данных. Несмотря на использование передовых мер по предотвращению несанкционированного доступа, TROX Stealer полагается на устоявшиеся методы сбора и передачи информации. Индикаторы компрометации (IOCs), такие как подозрительные URL-адреса и специфические артефакты многоязычного программирования, предоставляют возможности для обнаружения и реагирования на новые угрозы.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: