Троян для разработчиков ворует данные и майнит криптовалюту

Скрытая угроза для разработчиков: троян Trojan.DownLoader49 объединяет stealer, keylogger, backdoor и miner

Специалисты по кибербезопасности раскрыли детали многоэтапной атаки, нацеленной прежде всего на разработчиков программного обеспечения. Вредоносная кампания, центральным элементом которой является Trojan.DownLoader49.35384, использует внедрение в легитимные приложения и инструменты разработки, создавая чрезвычайно устойчивую и многофункциональную угрозу. Троян способен действовать одновременно как инструмент кражи данных, перехватчик нажатий клавиш, средство удаленного доступа, криптомайнер и вирус-заражатель файлов, что делает его опасным противником для любой скомпрометированной среды.

Этап 1: начальное заражение через манипуляцию PE-структурами

Процесс заражения начинается с того, что Trojan.DownLoader49.35384 модифицирует структуру исполняемых PE-файлов. Вредонос обеспечивает собственное выполнение, обращаясь к системным API через обход PEB (Process Environment Block). Далее задействуется функция initterm: она используется для инициализации вредоносной процедуры, которая, в свою очередь, выполняет скрытую команду PowerShell. Этот начальный, зачастую зашифрованный, полезный груз загружает следующий компонент — Trojan.DownLoader49.35687.

Этап 2: обход sandbox и скрытое получение C2-адресов

Компонент второй стадии, Trojan.DownLoader49.35687, разработан с учетом необходимости оставаться незамеченным. Прежде всего он проверяет, не запущен ли в среде sandbox, чтобы избежать автоматического анализа. Затем создает mutex для предотвращения запуска дублирующих экземпляров. Ключевая особенность этой версии — способность извлекать адреса управляющих серверов (C2) из публичных репозиториев на таких платформах, как GitHub и Steam. Полученные данные расшифровываются с помощью Base64 и XOR, после чего троян соединяется с операторами через named pipe и загружает финальный компонент — BackDoor.Siggen2.5906.

Этап 3: развертывание многофункционального агента BackDoor.Siggen2.5906

Третий этап атаки реализует основную вредоносную нагрузку. BackDoor.Siggen2.5906 повторно создает mutex, собирает системные идентификаторы и загружает дополнительные модули для закрепления в системе. Отличительной и особенно тревожной чертой является внедрение в DLL-файлы, связанные с популярными приложениями, что позволяет трояну глубоко интегрироваться в работу ОС.

Функциональные возможности третьего этапа включают:

  • Stealer: похищение учетных данных из браузеров и токенов Discord.
  • Keylogger: перехват нажатий клавиш для получения финансовой информации и паролей, а также манипуляция адресами криптовалютных кошельков.
  • Cryptominer: активация инструментов майнинга с открытым исходным кодом в периоды бездействия пользователя.
  • Заражение файлов: возможность внедрения в файлы проектов Visual Studio (такие как .suo и .vcxproj), а также в стандартные исполняемые файлы. Это приводит к непреднамеренному распространению вредоносного кода между разработчиками через общие проекты.

Методы обфускации и повышения привилегий

Злоумышленники применяют продвинутые техники, чтобы оставаться незамеченными. Скрипты и команды Python шифруются при помощи библиотеки Fernet. Для получения прав администратора без ведома пользователя вредоносная программа осуществляет UAC bypass с помощью специально созданных VBS-файлов. Такая комбинация шифрования и скрытного повышения привилегий значительно усложняет обнаружение и удаление угрозы.

Выводы и рекомендации

Многогранная природа Trojan.DownLoader49 — объединяющего в себе stealer, keylogger, backdoor, miner и агента заражения файлов — подчеркивает масштаб потенциального ущерба для систем. Особую опасность он представляет для разработчиков, использующих скомпрометированные библиотеки или инструменты. Непрерывный мониторинг, строгий контроль доступа и своевременные обновления безопасности остаются критически важными для минимизации рисков, связанных с этой угрозой.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: