СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 21:26
#ИБ

SilabRAT: скрытый RAT для кражи учетных данных и криптокошельков

SilabRAT, также известный как SnappyClient, — это продвинутая RAT, ориентированная прежде всего на финансовую выгоду за счет кражи учетных данных. По данным отчета, вредоносная программа разработана злоумышленником, известным как o1oo1, и с конца 2025 года распространяется на форумах Darkweb по модели MaaS (Malware as a Service).

Особый интерес к SilabRAT вызывает его способность обеспечивать скрытый удаленный доступ к зараженной системе через HVNC (Hidden Virtual Network Computing). Это позволяет операторам сохранять контроль над устройством, оставаясь незамеченными для пользователя и средств защиты.

Как распространяется SilabRAT

Авторы отчета указывают, что для первоначального заражения используются как традиционные, так и социально-инженерные методы. Среди них:

  • спам по электронной почте;
  • кампании ClickFix, в которых жертву подталкивают к выполнению действий, приводящих к компрометации системы.

Такая схема делает атаку более гибкой: злоумышленники могут адаптировать сценарии под разные группы жертв, повышая вероятность успешного проникновения.

Функциональность: от браузеров до криптокошельков

SilabRAT обладает широким набором функций, ориентированных на кражу данных и удаленное управление зараженными устройствами. Среди ключевых возможностей:

  • перехват сессий;
  • клонирование профилей браузера;
  • извлечение сохраненных паролей и cookies из браузеров;
  • захват нажатий клавиш;
  • удаленное выполнение команд;
  • мониторинг зараженных машин в реальном времени.

Отдельно отмечается способность SilabRAT обходить защиту App-Bound Encryption (ABE) в Chrome с использованием DLL для эксплуатации системных процессов. Это позволяет вредоносному ПО получать доступ к защищенным данным без заметных признаков вмешательства.

Помимо обычных учетных данных, вредоносная программа включает функции, адаптированные под криптовалютную сферу. Она умеет:

  • идентифицировать адреса wallets;
  • пытаться подбирать пароли, связанные с криптокошельками.

Архитектура и модель распространения

SilabRAT построен по модели, при которой инфраструктура размещается у оператора. Иными словами, покупатели не используют общую C2-инфраструктуру с другими клиентами, а настраивают и запускают собственные серверы управления.

Такая архитектура дает злоумышленникам более высокий уровень операционной безопасности и больший контроль над кампаниями. В практическом смысле это затрудняет атрибуцию, усложняет блокировку и снижает риски, связанные с совместным использованием серверов.

Стоимость подписки на SilabRAT, по данным отчета, составляет около 5 000 долларов в месяц. Кроме того, сервис может поставляться вместе с AsmCrypt — инструментом обфускации, также разработанным o1oo1. Это повышает скрытность ВПО и усложняет его анализ.

Закрепление в системе и обход защиты

Для сохранения присутствия на зараженной машине SilabRAT применяет стандартные механизмы закрепления в Windows:

  • ключи автозагрузки реестра;
  • планировщики задач.

Это обеспечивает автоматический запуск при входе пользователя в систему или по заданному расписанию.

Кроме того, вредоносная программа использует базовые методы обхода защиты, включая вмешательство в функции AMSI (Antimalware Scan Interface). Такой подход помогает снижать эффективность сканирования и усложняет обнаружение вредоносной активности.

Что дальше

По оценке авторов отчета, SilabRAT остается эволюционирующим вредоносным инструментом, и в будущем у него, вероятно, появятся новые функции и улучшения. Среди заявленных планов — настраиваемая инъекция кода, нацеленная на приложения на базе Electron в экосистемах, связанных с криптовалютой.

Вывод: SilabRAT представляет собой зрелый MaaS-продукт, сочетающий скрытность, гибкие механизмы распространения и расширенный набор функций для кражи данных, включая активы из криптовалютной среды. Для организаций и пользователей это означает необходимость усиливать контроль за почтовым трафиком, ограничивать риск социально-инженерных атак и внимательно защищать браузерные и криптографические учетные данные.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: