Сетевая угроза: скрытный троян для кражи криптовалюты и данных

Новая сложная вредоносная программа для кражи информации демонстрирует высокий уровень скрытности и инновационные методы обхода защиты

В недавнем отчёте эксперты по кибербезопасности описали уникальную вредоносную программу, которая представляет серьёзную угрозу для пользователей и организаций. Эта сетевая программа для кражи информации и сбора учетных данных способна обходить системы обнаружения благодаря ряду сложных методов обфускации и продвинутых техник работы в заражённой системе.

Техническое описание и тактики работы

Программа оснащена встроенным дешифратором и использует внедрение библиотек DLL для реализации своих функций. Среди ключевых особенностей вредоносного ПО:

• Выполнение операций с реестром Windows и перечисление сетевых ресурсов;
• Взаимодействие с легитимными приложениями через имитацию пользовательского ввода в GUI, что затрудняет обнаружение;
• Широкая несовместимость — нацелена на популярные браузеры, включая Chromium и Gecko, а также на приложения, такие как криптовалютные кошельки, Steam, Discord и FileZilla;
• Фокус на Bitcoin Core с захватом файла wallet.dat путем доступа к значениями реестра Windows, где хранится каталог кошелька;
• Способность считывать и расшифровывать конфигурационные данные из ответов Command and Control (C2) для извлечения токенов и паролей;
• Сложная система распознавания отпечатков пальцев устройств на основе BSSID и MAC-адресов точек доступа Wi-Fi для определения географического положения жертвы;
• Ограничение активности вредоносного ПО в зависимости от сетевого окружения — запуск происходит только в выбранных сетях, что снижает вероятность обнаружения;
• Таргетинг VPN-приложений, таких как CyberGhost, с попытками кражи конфигураций и авторизационных данных, что может привести к дальнейшему продвижению в сети;
• Захват буфера обмена с подменой криптовалютных адресов злоумышленника, что способствует краже средств без ведома пользователей;
• Создание скрытых директорий в папке AppData для хранения компонентов и обеспечения устойчивого присутствия в системе;
• Использование Telegram в качестве канала для коммуникации с Command and Control серверами, обеспечивая анонимность и скрытность операций;
• Динамическая загрузка вредоносных функций и применение методов антианализа для предотвращения детектирования и анализа;
• Внедрение алгоритмов геозонирования, чтобы избегать запуска вредоносного кода на территории определённых стран.

Последствия и важность защиты

Согласно экспертам, данное вредоносное ПО является ярким примером эволюции кибератак и демонстрирует растущую сложность инструментов, используемых злоумышленниками. Его инновационный подход к профилированию пользователей и утечке данных требует от организаций и конечных пользователей применения передовых мер безопасности.

Необходимо усилить контроль над системными реестрами, мониторить сетевую активность и регулярно обновлять антивирусные базы, чтобы снизить риски заражения подобных вредоносных программ. Кроме того, критически важным является обучение сотрудников и пользователей принципам кибергигиены, в том числе осторожному обращению с буфером обмена и доверенными приложениями.

В итоге, описанное ПО служит напоминанием о том, что современные кибератаки становятся всё более изощрёнными, и защита информационных систем должна постоянно совершенствоваться.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.