Исследователи из команды Howler Cell компании Cyderes раскрыли масштабную кампанию по распространению вредоносного программного обеспечения через подмену установщиков популярных приложений. Злоумышленник, действующий под псевдонимом Leda Elacoate, в течение месяца создавал и поддерживал репозиторий на платформе Bitbucket, где размещал троянизированные версии программ для криптотрейдинга, игровой платформы Steam и, что наиболее опасно, VPN-клиента X-VPN. Целью атаки была кража учётных данных и удалённый доступ к компьютерам жертв.
Описание
Вся кампания строилась на одной технике - DLL-подмене (sideloading). Вредоносная библиотека CRYPTBASE.dll помещалась в папку с легитимным установщиком. При запуске программа загружала её вместо системной, что запускало цепочку загрузки финальной нагрузки - трояна удалённого доступа STX RAT (remote access trojan с функциями кражи информации). Всего специалисты идентифицировали 11 заражённых пакетов, включая установщики Binance, Bybit, MEXC, Exodus, MetaTrader 5, FileZilla, CPU-Z и HWMonitor. Как сообщается в отчёте Howler Cell, первые пять пакетов были загружены в репозиторий в конце января 2026 года, а последний - X-VPN - появился 26 февраля.
Выбор целей неслучаен. Криптовалютные биржи и кошельки привлекают злоумышленников, которые охотятся за доступом к счетам жертв. В 2025 году, по оценкам, было похищено более 3,4 миллиарда долларов в криптовалютах - значительная часть этих потерь связана с кражей учётных данных. Атака на X-VPN, сервис с сообщаемой базой пользователей более 100 миллионов человек, расширила круг потенциальных жертв за счёт аудитории, заботящейся о конфиденциальности. Многие из них могут одновременно использовать криптовалютные сервисы или вести чувствительную переписку.
Технически атака основывалась на уязвимости CWE-427 (неконтролируемый элемент пути поиска) в Windows-клиенте X-VPN. Системная библиотека CRYPTBASE.dll не входит в список KnownDLLs, поэтому при её загрузке по имени Windows сначала проверяет папку программы, а уже затем системную папку. Злоумышленник воспользовался этим порядком, упаковав вредоносную копию библиотеки вместе с установщиком. После запуска троянизированного пакета CRYPTBASE.dll загружалась из папки приложения, одновременно подгружая настоящую системную библиотеку для сохранения работоспособности программы. Пользователь не замечал подмены, а вредоносная цепочка выполнялась в фоне.
Финальная нагрузка STX RAT загружалась в память методом рефлексивной инъекции, не оставляя файлов на диске. Троян позволял злоумышленнику получать удалённый доступ, выполнять команды, похищать сохранённые пароли браузеров, токены сессий и системные учётные данные. Весь исходящий трафик маскировался под обычный HTTPS, что затрудняло обнаружение на уровне сети.
Характерной чертой кампании стала её адаптивность. После первых публикаций о заражённых пакетах HWMonitor и других злоумышленник не свернул активность, а сменил инфраструктуру. Домен обратного вызова (C2) был перемещён с helloworld.supp0v3[.]com на welcome.supp0v3[.]com, а в конфигурации последнего пакета X-VPN обнаружен placeholder "changeme" в значении referrer. Это указывает на использование инструмента для сборки (builder): параметры подставлялись непосредственно перед распространением, что говорит о полуавтоматизированном процессе.
Координация с X-VPN началась 18 мая 2026 года, когда исследователи уведомили компанию. В течение двух рабочих дней разработчики подтвердили проблему, а 28 мая выпустили версию 77.5.2 для Windows, в которой внедрили три уровня защиты: загрузку системных DLL только из папки Windows, проверку хешей всех библиотек в папке программы при запуске и жёсткие правила загрузки для каждого процесса. Важно подчеркнуть, что сервисы и учётные записи X-VPN не были скомпрометированы. Риску подвергались только те пользователи, которые скачали установщик из стороннего репозитория, а не с официального сайта или магазинов приложений.
Масштаб угрозы остаётся высоким. Все 11 подтверждённых пакетов связаны одним корневым доменом supp0v3.com, одним методом доставки и одной финальной нагрузкой. Исследователи рекомендуют блокировать этот домен на периметре, отслеживать аномальную загрузку CRYPTBASE.dll из нестандартных путей и применять YARA-правила для обнаружения STX RAT в памяти. Пользователям X-VPN следует немедленно обновиться до версии 77.5.2 или новее, а также соблюдать гигиену установки ПО - загружать программы только из официальных источников. Учитывая, что злоумышленник продолжает менять тактику, новые волны заражений практически неизбежны.
Индикаторы компрометации
Domains
- helloworld.supp0v3.com
- supp0v3.com
- welcome.supp0v3.com
URLs
- https://bitbucket.org/amos-trading/dist-internal/raw/main/vendor/
Emails
- pufferfish11@firemail.cc
SHA256
- 10f9632491ec37a51d32f41d806e70894f12eed38b74ac2e1f44e9e22226348f
- 4b68fcafac8ebe50d5ae489400f33ce01f85de4204eba01a1585fe49002c1582
- 74b5d631cc6802a5790f99a4bfefd9b3dfcfb43007f9fc576f7dfd4eac69d52e
- a2b2fe65819a955b8e2351dd3b75540a9cc38cd0009708a50db2bf9adb8e0657