OnyxC2: новый стиллер с кражей учетных данных и обходом защиты

OnyxC2 — новый обнаруженный stealer, появившийся в начале 2026 года и ориентированный на масштабный сбор учетных записей. По данным отчета, вредоносный инструмент поставляется как полноценный package с веб-панелью, конструктором payload и многоуровневой моделью подписки стоимостью 250 долларов в месяц.

Широкий охват приложений и данных

Стиллер нацелен примерно на 210 приложений, включая:

• 37 браузеров на базе Chromium;
• 8 браузеров на базе Gecko;
• 95 расширений Chromium;
• 14 расширений Gecko, из них 6 предназначены для two-factor authentication;
• 5 password managers;
• 17 cryptocurrency wallets;
• а также различные другие приложения, включая FTP clients и email clients.

Такая функциональность позволяет OnyxC2 собирать значительный объем учетных данных и session materials, что особенно опасно как для частных пользователей, так и для бизнеса.

Архитектура и уклонение от обнаружения

Бинарный файл стиллера разработан на C++ и содержит assembly code для прямого доступа к system calls. Отдельного внимания заслуживает уникальная стратегия мутации, применяемая для каждой сборки. По заявлению авторов и по оценке отчета, она обеспечивает до 99% уклонения от обнаружения антивирусами.

Статический анализ образцов подтвердил высокую эффективность уклонения: при первоначальной загрузке на VirusTotal было зафиксировано минимальное количество срабатываний.

Связка со средствами удаленного доступа

OnyxC2 не ограничивается функциями кражи данных. Набор инструментов объединяет стиллер с модулем удаленного доступа, который включает:

• HVNC (Hidden Virtual Network Computing);
• LSASS dumping;
• reverse shell over HTTP.

Это расширяет возможности злоумышленников, позволяя им не только перехватывать учетные данные, но и закрепляться в скомпрометированной системе.

Метод распространения

Распространение OnyxC2 построено на методичном использовании поддельных установщиков. Вредоносное ПО упаковывается в password-protected archives, которые имитируют легальные загрузки программного обеспечения и маскируют вредоносные компоненты.

Внутри архива находится легальное signed application вместе с вредоносной DLL, предназначенной для sideloading при запуске легитимной программы. Эта библиотека, замаскированная под легальную графическую библиотеку NVIDIA, содержит зашифрованный полезный груз. Из-за размера и обманчивой интеграции она затрудняет обнаружение типичными сканерами.

Детальный анализ структуры бинарного файла показывает, что установщику достаточно разместить вредоносную DLL рядом с легитимно подписанным исполняемым файлом, чтобы запустить атаку. Такой подход позволяет избегать традиционных методов эксплуатации.

C2-инфраструктура и подтверждение заражений

Коммуникации с командным центром OnyxC2 (C2) показывают, что каждый бот работает под уникальными токенами. Это подтверждает целостность системы и согласованность между заявленными функциями и реальными заражениями в режиме реального времени.

Чем опасен OnyxC2

Последствия использования OnyxC2 выглядят серьезно. Инструмент позволяет злоумышленникам поддерживать постоянный доступ за счет украденных сеансовых cookies и данных из password managers, фактически сводя на нет стандартные меры восстановления учетных записей.

Общая архитектура OnyxC2 подчеркивает применение продвинутых техник уклонения и data exfiltration. Это вызывает серьезные опасения у пользователей, особенно у тех, кто занимает чувствительные роли в организациях.

Вывод

Главный вывод отчета сводится к необходимости proactive measures против кражи данных и последовательного блокирования попыток exfiltration. В случае с OnyxC2 речь идет не просто о новом стиллере, а о многофункциональной вредоносной платформе, сочетающей кражу учетных данных, удаленный доступ и продвинутые методы сокрытия.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.