Salat Stealer: инфокрад на базе Go для Windows

Salat Stealer, также известный как WEB_RAT, — продвинутый инфокрад, написанный на Go и ориентированный на платформу Windows. Отчёт показывает, что этот стилер управляется русскоязычными акторами в рамках модели MaaS (Вредоносное ПО как услуга) и обладает набором механизмов, направленным на долговременное закрепление в системе и скрытую эксфильтрацию конфиденциальных данных.

Ключевые особенности и возможности

• Цель: сбор конфиденциальной информации — в первую очередь учётных данных браузеров и данных криптовалютных кошельков.
• Платформа: ориентирован на Windows.
• Технологии упаковки и маскировки: использует UPX для обхода статического обнаружения и маскируется под легитимные процессы в доверенных каталогах.
• Уклонение от средств защиты: изменение исключений Windows Defender, создание скрытых окон и имитация работы законных приложений.
• Инфраструктура: централизованная административная панель для распространения и управления, что свидетельствует об организованном характере операций.

Механизмы закрепления и уклонения

Salat Stealer применяет несколько механизмов для обеспечения персистентности и затруднения обнаружения:

• Создание записей автозапуска в реестре Windows.
• Модификация и создание запланированных задач для повторного запуска вредоноса.
• Использование упаковщика UPX, что затрудняет статический анализ бинарника.
• Маскировка под легитимные процессы и запуск дочерних процессов, имитирующих системные или известные приложения.
• Манипуляции с исключениями Windows Defender и создание скрытых окон для снижения видимости активности.

Цели эксфильтрации и последствия

Основная цель Salat Stealer — извлечение учётных данных и другой чувствительной информации:

• Доступ и эксфильтрация паролей, куки и других артефактов из браузеров, в том числе из Google Chrome, путём обращения к базам данных SQLite.
• Кража данных криптовалютных кошельков.
• Риск не ограничивается приватными пользователями: компрометация корпоративных учётных записей повышает вероятность дальнейших атак и бокового перемещения внутри сети.

Результаты анализа поведения

Как статический, так и динамический анализ показали следующий функционал:

• Управление файловой системой и операциями ввода-вывода.
• Создание процессов и потоков, управление ими и их маскировка в окружении ОС.
• Обработка исключений, позволяющая повышать устойчивость при работе в защищённых средах и sandbox.
• Во время динамического анализа отмечается активная маскировка процессов: запуск дочерних процессов, имитирующих легитимные приложения, что снижает вероятность обнаружения традиционными средствами безопасности.

«Присутствие Salat Stealer подчёркивает растущую сложность вредоносного ПО как части экосистемы MaaS, где даже недорогие модели подписки могут обеспечить доступ к расширенным возможностям атак», — указывает отчёт.

Инфраструктура и операционная модель

У злоумышленников задокументирована централизованная инфраструктура с административной панелью для распространения и управления экземплярами стилера. Это указывает на коммерческую и организованную модель эксплуатации — классическая черта MaaS, когда клиенты получают доступ к функционалу вредоноса без глубоких технических знаний.

Риски и рекомендации

Salat Stealer представляет собой серьёзную угрозу информационной безопасности как для рядовых пользователей, так и для организаций. Для снижения рисков можно рекомендовать следующие общие меры (без детальной инструкции по нейтрализации вредоноса):

• Поддерживать актуальность операционных систем и программного обеспечения, включая браузеры.
• Использовать многофакторную аутентификацию (MFA) там, где это возможно, чтобы уменьшить ущерб при компрометации паролей.
• Ограничивать привилегии пользователей и контролировать права приложений на запись в автозапуск и создание запланированных задач.
• Внедрять и поддерживать современные решения EDR/AV с возможностями поведенческого анализа, способные учитывать маскировку процессов и аномалии в создании дочерних процессов.
• Проводить регулярный аудит исключений в Windows Defender и других средствах защиты, чтобы исключения не использовались злоумышленниками.
• Информировать сотрудников о рисках фишинга и социальной инженерии, которые часто используются для доставки таких стилеров.

Наличие у Salat Stealer централизованной панели управления и развитых средств уклонения подчёркивает, что угроза будет сохраняться и эволюционировать в рамках коммерческих моделей MaaS. Комплексный подход к защите и мониторингу — ключевое условие снижения рисков.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.