Аналитики Zscaler вскрыли SnappyClient: новый сложный бэкдор для кражи данных и криптовалют

SnappyClient - это имплант, написанный на C++, который действует как клиентская часть платформы управления командным центром (C2, Command and Control). После внедрения в систему он способен выполнять множество вредоносных действий: красть пароли и cookies из браузеров, перехватывать нажатия клавиш, делать скриншоты, запускать удалённую оболочку и похищать файлы из целевых приложений. Особенность угрозы заключается в использовании продвинутых техник уклонения от обнаружения средствами защиты конечных точек. Среди них - обход механизма AMSI (интерфейс антивирусного сканирования), техника Heaven’s Gate для выполнения прямых системных вызовов в 64-битном режиме из 32-битного процесса, а также метод transacted hollowing для скрытого внедрения кода в легитимные процессы.

Атака начинается с компрометации веб-сайта, который выдаёт себя за портал телекоммуникационной компании Telefónica и нацелен на немецкоязычных пользователей. При посещении такой страницы на компьютер жертвы автоматически загружается исполняемый файл загрузчика HijackLoader, который, в свою очередь, расшифровывает и запускает основной модуль SnappyClient. Эксперты отмечают, что наблюдались и другие векторы доставки, включая фишинговые сообщения в социальных сетях. После запуска SnappyClient использует сложный, многоэтапный процесс для расшифровки своей сетевой конфигурации, которая содержит IP-адреса командных серверов и порты для управления. Всё сетевое взаимодействие шифруется с помощью алгоритма ChaCha20-Poly1305, а данные перед отправкой сжимаются, что затрудняет обнаружение аномалий в трафике.

Конфигурация вредоноса хранится в виде встроенных в бинарный файл JSON-объектов, а также динамически загружается с C2-сервера в виде двух зашифрованных файлов: EventsDB и SoftwareDB. Первый содержит набор правил-триггеров, которые выполняют определённые действия при наступлении условий - например, делают скриншот, если в заголовке окна обнаруживается слово «binance» или «coinbase», либо подменяют содержимое буфера обмена, если там обнаружен адрес криптокошелька. Второй файл, SoftwareDB, представляет собой целевой список программ для кражи данных, включающий популярные браузеры (Chrome, Firefox, Edge), расширения для работы с криптовалютами (MetaMask, Trust Wallet) и настольные криптокошельки (Exodus, Ledger Live). Это прямо указывает на финансовые мотивы атакующих.

Одна из ключевых функций SnappyClient - обход защиты Chromium App-Bound Encryption, которая призвана защищать чувствительные данные браузеров, такие как пароли. Для этого вредоносная программа с помощью техники transacted hollowing внедряет свой код в доверенный процесс, чтобы получить мастер-ключ шифрования. Это позволяет злоумышленникам беспрепятственно извлекать сохранённые учётные данные. После заражения имплант собирает обширную информацию о системе, включая данные об антивирусном ПО, мониторах, установленных приложениях и генерирует уникальный идентификатор устройства, который отправляет на сервер при регистрации. Управление осуществляется через гибкую систему команд, которая позволяет оператору удалённо управлять файловой системой, запускать процессы, устанавливать обратные прокси (SOCKS5, VNC) и синхронизировать конфигурации.

Аналитики Zscaler обращают внимание на явное сходство кодовой базы SnappyClient с загрузчиком HijackLoader, что может указывать на общее происхождение или тесное сотрудничество разработчиков. Сходства наблюдаются в структуре используемых API, механизмах прямых системных вызовов и технике transacted hollowing. Учитывая, что HijackLoader традиционно используется в кампаниях киберпреступников, можно предположить, что SnappyClient создан и применяется в рамках экосистемы, связанной с финансово мотивированными атаками.

Для специалистов по информационной безопасности данный инцидент служит напоминанием о важности многослойной защиты. Техники, применяемые SnappyClient, эффективно обходят сигнатурные антивирусные проверки, поэтому акцент должен быть сделан на поведенческом анализе и обнаружении аномалий. Ключевые рекомендации включают блокировку исполняемых файлов, загружаемых из интернета, использование механизмов контроля приложений, регулярный мониторинг сетевого трафика на предмет нестандартного шифрования и сжатия, а также обучение пользователей распознаванию фишинговых сайтов. Поскольку угроза активно нацелена на криптовалютные активы, компаниям и частным лицам, работающим в этой сфере, следует проявлять повышенную бдительность и использовать аппаратные кошельки для хранения значительных сумм.

IPv4 Port Combinations

• 151.242.122.227:3333
• 151.242.122.227:3334
• 179.43.167.210:3333
• 179.43.167.210:3334

SHA256

• 00019221fb0b61b769d4168664f11c1258e4d61659bd3ffecb126eaf92dbfe2f
• 23e2a0c25c95eebe1a593b27ac1b81a73b23ddad7617b3b11c69a89c3d49812e
• 61e103db36ebb57770443d9249b5024ee0ae4c54d17fe10c1d44e87e2fc5ee99
• 64a2609d6707a2ebfe5b40f5227d0f9b85911b752cd04f830d1bbc8aa6bec2c8
• 6e360fca0b1e3021908f8de271d80620d634600955fefc9fd0af40557cd517d7