Троян для разработчиков ворует данные и майнит криптовалюту
Скрытая угроза для разработчиков: троян Trojan.DownLoader49 объединяет stealer, keylogger, backdoor и miner
Специалисты по кибербезопасности раскрыли детали многоэтапной атаки, нацеленной прежде всего на разработчиков программного обеспечения. Вредоносная кампания, центральным элементом которой является Trojan.DownLoader49.35384, использует внедрение в легитимные приложения и инструменты разработки, создавая чрезвычайно устойчивую и многофункциональную угрозу. Троян способен действовать одновременно как инструмент кражи данных, перехватчик нажатий клавиш, средство удаленного доступа, криптомайнер и вирус-заражатель файлов, что делает его опасным противником для любой скомпрометированной среды.
Этап 1: начальное заражение через манипуляцию PE-структурами
Процесс заражения начинается с того, что Trojan.DownLoader49.35384 модифицирует структуру исполняемых PE-файлов. Вредонос обеспечивает собственное выполнение, обращаясь к системным API через обход PEB (Process Environment Block). Далее задействуется функция initterm: она используется для инициализации вредоносной процедуры, которая, в свою очередь, выполняет скрытую команду PowerShell. Этот начальный, зачастую зашифрованный, полезный груз загружает следующий компонент — Trojan.DownLoader49.35687.
Этап 2: обход sandbox и скрытое получение C2-адресов
Компонент второй стадии, Trojan.DownLoader49.35687, разработан с учетом необходимости оставаться незамеченным. Прежде всего он проверяет, не запущен ли в среде sandbox, чтобы избежать автоматического анализа. Затем создает mutex для предотвращения запуска дублирующих экземпляров. Ключевая особенность этой версии — способность извлекать адреса управляющих серверов (C2) из публичных репозиториев на таких платформах, как GitHub и Steam. Полученные данные расшифровываются с помощью Base64 и XOR, после чего троян соединяется с операторами через named pipe и загружает финальный компонент — BackDoor.Siggen2.5906.
Этап 3: развертывание многофункционального агента BackDoor.Siggen2.5906
Третий этап атаки реализует основную вредоносную нагрузку. BackDoor.Siggen2.5906 повторно создает mutex, собирает системные идентификаторы и загружает дополнительные модули для закрепления в системе. Отличительной и особенно тревожной чертой является внедрение в DLL-файлы, связанные с популярными приложениями, что позволяет трояну глубоко интегрироваться в работу ОС.
Функциональные возможности третьего этапа включают:
- Stealer: похищение учетных данных из браузеров и токенов Discord.
- Keylogger: перехват нажатий клавиш для получения финансовой информации и паролей, а также манипуляция адресами криптовалютных кошельков.
- Cryptominer: активация инструментов майнинга с открытым исходным кодом в периоды бездействия пользователя.
- Заражение файлов: возможность внедрения в файлы проектов Visual Studio (такие как
.suoи.vcxproj), а также в стандартные исполняемые файлы. Это приводит к непреднамеренному распространению вредоносного кода между разработчиками через общие проекты.
Методы обфускации и повышения привилегий
Злоумышленники применяют продвинутые техники, чтобы оставаться незамеченными. Скрипты и команды Python шифруются при помощи библиотеки Fernet. Для получения прав администратора без ведома пользователя вредоносная программа осуществляет UAC bypass с помощью специально созданных VBS-файлов. Такая комбинация шифрования и скрытного повышения привилегий значительно усложняет обнаружение и удаление угрозы.
Выводы и рекомендации
Многогранная природа Trojan.DownLoader49 — объединяющего в себе stealer, keylogger, backdoor, miner и агента заражения файлов — подчеркивает масштаб потенциального ущерба для систем. Особую опасность он представляет для разработчиков, использующих скомпрометированные библиотеки или инструменты. Непрерывный мониторинг, строгий контроль доступа и своевременные обновления безопасности остаются критически важными для минимизации рисков, связанных с этой угрозой.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



