Исследователи кибербезопасности представили детальный анализ нового вредоносного ПО под названием Valkyrie Stealer. Этот инфостилер, написанный на C++, предназначен для кражи учетных данных, системной информации, данных браузеров, сессий мессенджеров и других пользовательских активов с систем Windows. Зловред отличается модульной архитектурой, шифрованием данных перед отправкой и комплексными техниками уклонения от обнаружения в средах анализа. Примечательно, что все собранные данные доступны через веб-панель управления, где операторы могут контролировать заражения и украденную информацию.
Описание
Valkyrie Stealer представляет собой многоэтапную модульную структуру для кражи данных. Его возможности включают разведку окружения, сбор учетных данных, извлечение данных браузеров, кражу сессий мессенджеров, сбор информации об игровых аккаунтах, кражу криптовалютных кошельков, захват скриншотов и многоуровневую передачу данных с шифрованием. Основной исполняемый файл защищен коммерческим пакером Themida, который обеспечивает сложные техники анти-отладки, защиты от изменений и обфускации таблицы импорта. Полезная нагрузка для кражи данных браузера в формате DLL внедрена и зашифрована с использованием алгоритма ChaCha20, а затем расшифровывается в памяти для рефлексивной загрузки.
Перед выполнением вредоносная программа выполняет множество проверок для обнаружения виртуализации, песочниц, инструментов анализа и маломощных систем. Эти проверки включают анализ процессов, инспекцию реестра, валидацию оборудования и ресурсов, сравнение с черными списками (MAC, IP, HWID), проверку разрешения экрана и использование watchdog-таймера на 3 минуты. Если выполнение занимает более трех минут, например, из-за отладки, процесс принудительно завершается. Для обнаружения виртуальных сред Valkyrie использует обширную таблицу сигнатур, включающую строки, связанные с популярными платформами виртуализации, песочницами и инструментами отладки, такие как OllyDbg, VBoxService и VMware Tools.
Вредоносная программа также загружает три файла черных списков с GitHub-репозитория, контролируемого автором. Эти списки содержат MAC-адреса, IP-адреса и идентификаторы оборудования, связанные с известными средами анализа и облачными провайдерами. Затем Valkyrie проверяет сетевые адаптеры, внешний IP и аппаратный UUID системы, сравнивая их с этими списками. Дополнительно программа проверяет разрешение экрана, количество ядер CPU и объем оперативной памяти, чтобы отсеять маломощные песочницы.
Полезная нагрузка для кражи данных браузера нацелена на браузеры на базе Chromium, такие как Chrome, Edge и Brave. Внедренная DLL восстанавливает главный AES-ключ из файла Local State браузера и анализирует базы данных профилей с использованием встроенного движка SQLite. Собранные данные, включая пароли и cookies, дешифруются и сохраняются в виде JSON-файлов. Кроме того, Valkyrie собирает сессии Discord и Telegram, данные игровых аккаунтов из таких клиентов, как Steam и Epic Games, а также информацию из криптовалютных кошельков, включая MetaMask и Exodus. Вредоносная программа также делает скриншот рабочего стола и собирает детальную системную информацию.
Все украденные данные упаковываются в ZIP-архив и шифруются с использованием AES-GCM. Для передачи данных Valkyrie использует двухуровневую систему C2-серверов. Основной домен управляющего сервера динамически извлекается из профиля Steam, а в случае недоступности используется резервный домен. Зашифрованные данные отправляются на сервер через HTTP POST-запрос.
Публично идентифицированный разработчик вредоносной программы, действующий под псевдонимом Lawxsz, ведет активную деятельность на нескольких платформах, включая Telegram, Discord, Signal, GitHub и YouTube. Он также ассоциируется с разработкой Prysmax Stealer, другого вредоносного ПО, распространяемого по модели "программа-как-услуга" (malware-as-a-service). Согласно отчетам, его активность прослеживается как минимум с конца 2022 года. Изначально он занимался разработкой и продажей удаленных административных троянов и услуг ботнетов через Telegram, а затем перешел к полноценной модели MaaS.
Telegram используется Lawxsz для продаж, поддержки клиентов, анонсов и обновлений сообщества. У него есть несколько каналов для прямой коммуникации, обновлений продукта, прогресса разработки и маркетинговых демонстраций. На GitHub автор активно публикует инструменты для наступательной безопасности, включая стелеры, кейлоггеры и фишинговые наборы. На YouTube он размещает демонстрационные ролики, чтобы показать возможности своих инструментов и привлечь покупателей.
В ходе прямого общения злоумышленник заявил, что разрабатывает новый криптер на основе техники боковой загрузки, предназначенный для использования EV-сертификатов для обхода систем защиты. По его словам, пожизненная версия стелера в комплекте с криптером стоит 400 долларов и включает возможности удаленного доступа. Следует отметить, что эти утверждения не были проверены.
Таким образом, Valkyrie Stealer представляет собой сложную многофункциональную угрозу, использующую передовые методы защиты и уклонения. Его модульный дизайн и активное развитие подчеркивают растущую профессионализацию рынка вредоносного ПО. Пользователям и компаниям необходимо обновлять антивирусные решения, применять принцип наименьших привилегий и повышать осведомленность о подобных угрозах для защиты своих данных.
Индикаторы компрометации
URLs
- https://raw.githubusercontent.com/Lawxsz/vm-blacklist/main/hwid.txt
- https://raw.githubusercontent.com/Lawxsz/vm-blacklist/main/ips.txt
- https://raw.githubusercontent.com/Lawxsz/vm-blacklist/main/mac.txt
- https://steamcommunity.com/profiles/76561199515014094/
- lylred.space/api/log
- thenewflights.xyz/api/log
SHA256
- 1e46af3ca215225eb82217aed0028cb46ac97fb5631fac9a96a1aa68cd9ce9d1
- 5ddcf2c1bed21ccf60a5c9a42aafad7fd1e9596fee8f50bfa82b9d6ba23abb7e
