В экосистеме киберугроз продолжает набирать обороты опасный тренд на использование скомпрометированных легитимных веб-сайтов для распространения вредоносных программ. Последним подтверждением этой тенденции стал зловред класса «стилер» под названием VodkaStealer, который целенаправленно похищает сохранённые учётные данные браузеров, файлы криптовалютных кошельков и другую конфиденциальную информацию с систем под управлением Windows. Особенность угрозы заключается в её методе распространения - тактике социальной инженерии, известной как ClickFix, которая реализуется через взломанные сайты на платформе WordPress и маскируется под проверку безопасности Cloudflare.
Описание
Исследователи отмечают, что тактика ClickFix представляет собой заметную эволюцию в распространении вредоносного кода. Вместо ставших уже традиционными фишинговых писем с вложениями или загрузки файлов со взломанных репозиториев, злоумышленники предпочитают компрометировать легитимные веб-ресурсы. После получения доступа на страницы внедряется вредоносный скрипт, который отображает пользователю убедительную поддельную страницу, имитирующую проверку сервиса Cloudflare на наличие ботов. Жертве предлагается скопировать и выполнить в PowerShell команду, якобы для подтверждения того, что она человек. На деле же эта команда запускает скрипт доставки вредоносной нагрузки, что и становится началом цепочки заражения.
Как сообщают аналитики, выполнение этой команды инициирует многостадийную последовательность загрузчика. На первом этапе, как правило, загружается и исполняется шелл-код, который, в свою очередь, запускает последующие этапы полезной нагрузки, работающие полностью в оперативной памяти. Подобный механизм доставки минимизирует создание артефактов на диске и существенно осложняет обнаружение атаки традиционными антивирусными средствами, сфокусированными на сканировании файловой системы. Финальной стадией этой цепочки, которую иногда называют DoubleDonut, становится внедрение кода VodkaStealer в легитимный системный процесс, например, svchost.exe, что позволяет зловреду маскировать свою активность под действия доверенного ПО.
Основная цель VodkaStealer - сбор чувствительной информации. Программа проводит агрессивное сканирование системы на наличие установленных браузеров и программ для работы с криптовалютами. В фокусе внимания зловреда - все популярные браузеры на движке Chromium, включая Google Chrome, Microsoft Edge, Brave, Opera, Vivaldi, Яндекс.Браузер, а также Mozilla Firefox. Модуль сбора данных извлекает базы данных сохранённых паролей, файлы cookies, сессионные токены и сертификаты, что впоследствии может позволить злоумышленникам получить доступ к аккаунтам жертв, включая корпоративные и банковские сервисы.
Кроме того, VodkaStealer демонстрирует явную ориентацию на финансовую выгоду, активно ища на диске данные криптовалютных кошельков. В список целей входят файлы, связанные с такими приложениями, как Ledger Live, Trezor, Exodus, Electrum, Coinomi, Jaxx и Guarda. Этот функционал подчёркивает растущую конвергенцию между классическими сборщиками учётных данных и инструментами для прямой финансовой кражи. Собранная информация, включая приватные ключи и сид-фразы, может привести к мгновенной и необратимой потере цифровых активов.
Для дальнейшего анализа и возможного использования в последующих атаках VodkaStealer также собирает дополнительную информацию о системе: делает скриншоты экрана, фиксирует конфигурацию окружения и перечень установленного программного обеспечения. Все собранные файлы первоначально складируются во временном каталоге, имя которого формируется на основе данных о стране, IP-адресе жертвы и временной метке, что помогает злоумышленникам систематизировать украденные данные. После сбора информация архивируется и отправляется на серверы, контролируемые операторами вредоносной программы.
Примечательно, что в отличие от многих современных стилеров, VodkaStealer не использует сложные методы обфускации кода для защиты от анализа. В некоторых изученных образцах конфигурационные параметры, включая адреса командной инфраструктуры, были найдены в бинарном файле в открытом виде. Это указывает на то, что сила данной угрозы заключается не в технологической изощрённости самого кода, а в масштабах и эффективности кампании по её распространению, а также в широких возможностях по хищению данных.
С точки зрения защиты, инцидент с VodkaStealer служит очередным напоминанием о критической важности соблюдения базовых правил кибергигиены как для обычных пользователей, так и для администраторов веб-ресурсов. Пользователям категорически не рекомендуется запускать произвольные команды, предлагаемые веб-страницами, даже если они выглядят легитимно. Администраторам сайтов на WordPress необходимо регулярно обновлять ядро системы, плагины и темы, использовать сложные уникальные пароли и реализовать двухфакторную аутентификацию для доступа к панели управления. Для детектирования подобных угроз, активно использующих выполнение кода в памяти, эффективны решения класса EDR (обнаружение и реагирование на конечных точках), которые отслеживают поведение процессов и аномальные действия, такие как инъекция кода в svchost.exe или массовый доступ к файлам браузеров со стороны нетипичных процессов.
Индикаторы компрометации
Domains
- vodkastealer.site
- vodkastealer.top
URLs
- http://vodkastealer.site/api/gate
- http://vodkastealer.top/upload
MD5
- 7d6b0c9f5fbc6d9d7a53cba4e7d0c0c2
- c6f5a7e9e3c7d0a1a7c0b3e4c5d9f7b1
SHA1
- 5e1c7f9c7b0c9e6d3a9e5c1b0f3d7a9e6b4c3d2a
- 9a0f3c7e6b1d2c4e8f0b7d9a1c5e6f2a3b4c5d6e
