СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
3 часа назад
#ИБ

Silent Stealer v2.6.5: MaaS-стиллер крадет данные Discord и Steam

Вредоносное ПО, идентифицированное как Illusion-2.6.5-setup.exe, оказалось развертыванием Silent Stealer v2.6.5 — представителя модели MaaS (Malware as a Service), распространяемого по подписке. По данным анализа, злоумышленник под именем ShinySpider распространяет его через Telegram, а основной задачей вредоноса является кража широкого спектра конфиденциальных данных пользователей.

Что именно крадет Illusion

Функциональность вредоносного ПО ориентирована на сбор наиболее ценной информации, включая:

  • учетные данные браузеров;
  • files cookie;
  • платежные данные;
  • кошельки криптовалют;
  • сеансы для платформ, таких как Discord и Steam;
  • токены Discord;
  • данные из Roblox и TikTok.

Особое внимание разработчики Illusion уделили игровым и социальным платформам. Такая специализация может указывать не только на финансовую мотивацию, но и на интерес к учетным данным, связанным с популярными онлайн-сервисами и игровыми экосистемами.

Как работает вредоносное ПО

Illusion маскируется под приложение на базе Electron и использует собственный установщик, скрывающий его истинную природу. Кроме того, вредоносное ПО интегрирует несколько механизмов закрепления и применяет различные методы обхода UAC (User Account Control) для получения повышенных привилегий.

Отдельно отмечается его устойчивая архитектура: Illusion поддерживает постоянные соединения с инфраструктурой управления C2, что позволяет злоумышленникам в реальном времени контролировать зараженные системы.

Через C2 доступны следующие возможности:

  • удаленный доступ к файловой системе;
  • выполнение команд PowerShell;
  • захват скриншотов рабочего стола жертвы;
  • оперативная передача похищенных данных.

Экфильтрация и техническая реализация

Процесс эксфильтрации данных организован через тщательно разработанные вызовы API, использующие конечные точки для передачи информации на сервер Discord злоумышленника и другие связанные платформы.

Архитектура вредоносного ПО также использует передовые техники обфускации. В частности, применяются:

  • разделение чувствительных строк на несколько литералов;
  • использование зашифрованных полезных нагрузок;
  • скрытие ключевых компонентов от статического анализа.

По сути, Illusion объединяет в себе не только компонент-стиллер, но и троянскую программу удаленного доступа (RAT), предоставляя злоумышленникам расширенный контроль над зараженными устройствами.

Проблемы операционной безопасности

Анализ выявил серьезные недостатки в операционной безопасности. Наиболее примечательная из них — открытая панель оператора, доступ к которой возможен без аутентификации. Это создает условия для:

  • анализа всех возможностей вредоносного ПО;
  • картирования инфраструктуры C2;
  • изучения механизмов доставки и эксфильтрации данных.

Такой уровень доступности внутренней панели значительно упрощает исследование инфраструктуры угроз, а также может способствовать обнаружению уязвимых мест в самой экосистеме управления.

Закрепление на системе

Для устойчивого закрепления Illusion использует сразу несколько механизмов. Среди них:

  • создание запланированных задач;
  • использование Windows Management Instrumentation (WMI) для повторного запуска;
  • автоматический рестарт даже после перезагрузки системы.

Такая комбинация методов повышает живучесть вредоноса и затрудняет его удаление стандартными средствами.

Связь с ShinyHunters: осторожная оценка

На основе собранных операционных данных связь с группой ShinyHunters остается спекулятивной и носит преимущественно контекстный, а не технический характер. Иными словами, прямых доказательств причастности не зафиксировано, однако отдельные признаки вызывают интерес у исследователей угроз.

Такая характеристика позволяет специалистам по кибербезопасности взвешенно оценивать ландшафт угроз при разработке стратегий обнаружения и смягчения последствий.

Вывод

Результаты анализа Illusion-2.6.5 демонстрируют эволюционирующую угрозу, исходящую от MaaS, особенно в части интеграции с популярными социальными и игровыми платформами. Комбинация стиллера и RAT, устойчивых механизмов закрепления, постоянного C2-контроля и сложной обфускации делает этот инструмент опасным и технологически зрелым.

Для специалистов по кибербезопасности этот случай служит еще одним подтверждением того, что современные вредоносные экосистемы все чаще строятся вокруг сервисной модели, масштабируемой инфраструктуры и точечного интереса к данным, имеющим как финансовую, так и эксплуатационную ценность.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: