StealC V2: Эволюция сложного вредоносного ПО 2023 года

В 2023 году на киберугрозы обрушилась новая вредоносная программа StealC, которая с тех пор претерпела значительные изменения. Последняя версия, StealC V2, выпущенная в марте 2025 года, предлагает улучшенные функциональные возможности и угрожает безопасности данных еще более серьезным образом. Данная статья рассматривает ключевые особенности и новшества этой угрозы, а также его инфраструктуру.

Ключевые обновления StealC V2

Версия V2 включает в себя ряд значительных усовершенствований:

• Обновленный протокол C2: Используются запросы на основе JSON с шифрованием RC4, что улучшает скрытность вредоносной программы.
• Разнообразие механик доставки: В дополнение к традиционным исполняемым форматам теперь поддерживаются пакеты Microsoft Software Installer (MSI) и сценарии PowerShell.
• Адаптивная панель управления: Операторы могут настраивать правила доставки полезной нагрузки на основе геолокации, HWID и установленного ПО.
• Эффективное извлечение данных: StealC V2 может делать скриншоты с разных мониторов и собирать данные из криптовалютных кошельков, почтовых клиентов и игровых платформ.
• Перебор учетных данных: На стороне сервера внедрены эффекты, которые позволяют собирать учетные данные более эффективно.

Технологические достижения и защита

Вредоносное ПО использует сложные механизмы для затруднения обнаружения:

• Двухуровневая обфускация: Этот метод делает обратное проектирование сложным.
• Хранение и шифрование: Важные строки выполнения хранятся в формате Base64 и расшифровываются с использованием RC4.
• Проверка среды: Механизмы защиты от обнаружения включают проверку на наличие повторяющихся запусков и определение языка хоста.

Современные методы коммуникации

StealC V2 обеспечивает надежную связь с сервером C2:

• Структурированные команды: Команды, такие как «create», «upload_file» и «done», упрощают управление процессом.
• Регистрация уникального идентификатора: После заражения вредоносная программа регистрирует себя и получает конфигурацию для атаки.
• Случайные параметры: Сервер C2 отправляет случайные параметры для каждого ответа, что затрудняет обнаружение статических сигнатур.

Текущее состояние и перспективы угрозы

Инфраструктура StealC V2 продолжает развиваться, внедряя:

• Принудительный контроль версий
• Интеграцию с Telegram для уведомлений операторов
• Пользовательское управление ошибками
• Программу самоудаления по командам сервера C2

Несмотря на прежние заявления о нестандартной реализации RC4, используемое шифрование демонстрирует прагматичный подход разработчиков. StealC V2 функционирует исключительно по протоколу HTTP на порту 80, демонстрируя стремление к упрощению обмена данными. Это вредоносное ПО часто комбинируется с другими угрозами, такими как Amadey, подчеркивая сложный ландшафт современных хакерских атак.

Заключение

Заинтересованные стороны в области кибербезопасности должны оставаться бдительными. Отслеживание новейших разработок, связанных с StealC V2, станет важной задачей для компаний, таких как ThreatLabZ, и других участников отрасли.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.