Sryxen: продвинутый браузерный стиллер с VEH и обходом DPAPI

Современные стиллеры информации, в частности вариант Sryxen, используют сложные методы для сбора учетных данных пользователей из браузеров. Архитектура Sryxen демонстрирует передовые механизмы антианализа и инновационные стратегии обхода мер безопасности, что делает его серьёзной угрозой для конфиденциальности данных пользователей.

Ключевые механизмы работы

Sryxen применяет несколько технических приёмов, которые усложняют его анализ и обнаружение:

• Антианализ через VEH: вредоносное ПО использует VEH (векторную обработку исключений) для того, чтобы конфиденциальные полезные данные оставались зашифрованными в состоянии покоя. Основная функция, ответственная за эксфильтрацию данных, зашифрована с помощью XOR и расшифровывается только во время выполнения с помощью обработчика VEH, что затрудняет проверку без запуска вредоноса.
• Использование DPAPI в контексте жертвы: Sryxen эффективно использует Windows Data Protection API (DPAPI), получая главный ключ шифрования путем запуска в пользовательском контексте жертвы. Это позволяет расшифровывать сохранённые данные, зашифрованные платформой DPAPI, тогда как попытки доступа из другого пользовательского контекста оказываются бесполезными.
• Обход привязки шифрования приложений: вредоносное ПО целится в файлы cookie и пароли браузеров, в частности в шифрование, привязанное к приложениям Chrome (ABE). Запуская Chrome с флагами отладки, Sryxen обходит эту защиту и облегчает кражу файлов cookie.
• Перечисление и многопоточный сбор: работа включает многопоточный поиск в ширину (BFS) для перечисления установленных браузеров и систематического сбора украденных данных, упорядоченных во временной папке.

Целевые данные и методы эксфильтрации

Sryxen нацелен прежде всего на учетные данные и сессионные данные:

• Файлы cookie и пароли веб-браузеров (включая механизмы шифрования Chromium).
• Токены и сессионные данные таких приложений, как Discord (которые могут храниться как в открытом виде, так и в зашифрованном виде, аналогично Chrome).

Для эксфильтрации Sryxen использует curl в зашумлённом режиме, вызывая команды через system(), что делает процесс уязвимым для обнаружения через телеметрию создания процессов/файлов. Несмотря на это, ключевые данные — например, сессионные cookie или токены Discord — отправляются во внешний Telegram API с помощью POST-запросов.

«Sryxen эффективно использует Windows Data Protection API (DPAPI), получая главный ключ шифрования путем запуска в пользовательском контексте жертвы.»

Работа с зашифрованными учётными данными

Вредоносное ПО умеет обращаться с современными схемами шифрования: пароли Chromium хранятся с использованием AES-256-GCM, и Sryxen способен расшифровать их перед эксфильтрацией. Аналогично, для приложений вроде Discord реализованы методы извлечения как открытых, так и зашифрованных токенов.

Соответствие тактикам MITRE ATT&CK

Подход Sryxen сопоставим с несколькими техниками MITRE ATT&CK:

• T1555.003 — сбор учётных записей (credentials from web browsers и другие хранилища);
• T1539 — кража сессионных cookie (session cookie theft);
• T1059 — выполнение утилит командной строки для эксфильтрации (включая вызов curl через system()).

Итог

Подход Sryxen отражает продолжающуюся борьбу между инструментами кражи учётных данных и инновациями в области безопасности браузера. Он демонстрирует, насколько эффективно современные стиллеры обходят механизмы защиты, такие как DPAPI и привязка шифрования к приложению, особенно при использовании техник, которые требуют выполнения вредоноса в контексте жертвы.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.