СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
09.12.2025
#ИБ

QuasarRAT через WinRAR CVE-2025-6218: стеганография в PNG

Недавний анализ образцов вредоносного ПО выявил новую кампанию, в которой злоумышленники используют известную уязвимость в WinRAR CVE-2025-6218 для распространения загрузчиков, ведущих к установке QuasarRAT. Атакующие комбинируют классическую эксплуатацию уязвимости с нетривиальным методом сокрытия — внедрением вредоносных двоичных данных в значения пикселей PNG-изображения (метод Steganography), что осложняет детекцию и анализ.

Что обнаружено

Один из примечательных образцов, именуемый Coin.me.py.txt, представляет собой скрипт на Python, предназначенный для извлечения _email addresses_ пользователей ресурса coinme.com. Скрипт запрограммирован на загрузку PNG-изображения с удалённого сервера и извлечение из него скрытой полезной нагрузки. Итоговая нагрузка выполняется полностью в памяти, позволяя обходить традиционные сигнатуры антивирусов.

Как работает атака — по шагам

  • Эксплуатация уязвимости WinRAR CVE-2025-6218 для доставки начального вредоносного файла.
  • Запуск файла Coin.me.py.txt, содержащего Python-скрипт, собирающий целевые email addresses с coinme.com.
  • Скрипт загружает удалённый PNG и извлекает из него скрытую бинарную полезную нагрузку с помощью Steganography.
  • Извлечённая полезная нагрузка выполняется в памяти (fileless execution) и может включать функционал кражи информации или реализации дистанционного управления — классические функции QuasarRAT.
  • Для упрощения извлечения образца злоумышленники или исследователи опубликовали утилиту на GitHub, генерирующую файл stage2_payload.bin с SHA256 = d6775da94945ff5cbd26a1711f69cecdce981386983d2f504914630639563c36.

Технические детали и индикаторы компрометации (IoC)

  • Имя файла-инициатора: Coin.me.py.txt
  • Целевая организация/ресурс: coinme.com (сбор email addresses)
  • Формат скрытого контейнера: PNG (используется Steganography)
  • Вторичный полезный файл: stage2_payload.bin
  • SHA256 stage2: d6775da94945ff5cbd26a1711f69cecdce981386983d2f504914630639563c36
  • Задействованный RAT: QuasarRAT
  • Уязвимость доставки: WinRAR CVE-2025-6218
  • Репозиторий с утилитой извлечения: GitHub (скрипт на Python)

«Кампания подчеркивает эффективность использования известных уязвимостей и инновационного использования Steganography для сокрытия вредоносных действий в, казалось бы, безобидных типах файлов.»

Риски

Комбинация эксплуатации широко известной уязвимости и скрытой доставки через PNG повышает шансы успешной компрометации, особенно в средах с устаревшим ПО и безильной защитой на уровне поведения процессов. Выполнение полезной нагрузки в памяти снижает вероятность обнаружения на основе сигнатур и затрудняет ретроспективный поиск заражений по файловой системе.

Рекомендации по защите

  • Немедленно установить обновления и патчи для WinRAR, устраняющие CVE-2025-6218.
  • Отключить или ограничить автоматическое извлечение архивов и запуск исполняемых скриптов из архивов в почтовых и клиентских средах.
  • Контролировать и блокировать загрузки с подозрительных доменов; внедрить прокси- и веб-фильтрацию для снижения риска загрузки вредоносных PNG.
  • Развернуть EDR/антивирусные решения с возможностями детектирования поведения (behavioral detection) и мониторинга выполнения в памяти.
  • Ввести правила мониторинга для обнаружения аномальной сетевой активности от конечных точек, особенно исходящих соединений на неизвестные C2-сервисы.
  • Проверять и блокировать на уровне почты вложения с маскировкой расширений (например, .py.txt), а также внедрить обучение пользователей по распознаванию подозрительных вложений.
  • Для инцидент-респонса: сохранить образы памяти пострадавших систем, сетевые логи и оригинальные файлы для последующего анализа; использовать опубликованный GitHub-скрипт и сверять полученные бинарники по SHA256.

Вывод

Описанная кампания демонстрирует, как старые уязвимости могут получить «вторую жизнь» в сочетании с современными методами сокрытия — в данном случае Steganography в PNG и исполнение в памяти. Организациям следует сочетать базовые меры (патчи, фильтрация вложений) с продвинутыми возможностями обнаружения аномалий и инцидент-менеджмента, чтобы снизить риск успешной атаки.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: