Атака на цепочку поставок: троянизированные установщики X-VPN и криптокошельков использовались для кражи учётных данных

remote access Trojan

Исследователи из команды Howler Cell компании Cyderes раскрыли масштабную кампанию по распространению вредоносного программного обеспечения через подмену установщиков популярных приложений. Злоумышленник, действующий под псевдонимом Leda Elacoate, в течение месяца создавал и поддерживал репозиторий на платформе Bitbucket, где размещал троянизированные версии программ для криптотрейдинга, игровой платформы Steam и, что наиболее опасно, VPN-клиента X-VPN. Целью атаки была кража учётных данных и удалённый доступ к компьютерам жертв.

Описание

Вся кампания строилась на одной технике - DLL-подмене (sideloading). Вредоносная библиотека CRYPTBASE.dll помещалась в папку с легитимным установщиком. При запуске программа загружала её вместо системной, что запускало цепочку загрузки финальной нагрузки - трояна удалённого доступа STX RAT (remote access trojan с функциями кражи информации). Всего специалисты идентифицировали 11 заражённых пакетов, включая установщики Binance, Bybit, MEXC, Exodus, MetaTrader 5, FileZilla, CPU-Z и HWMonitor. Как сообщается в отчёте Howler Cell, первые пять пакетов были загружены в репозиторий в конце января 2026 года, а последний - X-VPN - появился 26 февраля.

Выбор целей неслучаен. Криптовалютные биржи и кошельки привлекают злоумышленников, которые охотятся за доступом к счетам жертв. В 2025 году, по оценкам, было похищено более 3,4 миллиарда долларов в криптовалютах - значительная часть этих потерь связана с кражей учётных данных. Атака на X-VPN, сервис с сообщаемой базой пользователей более 100 миллионов человек, расширила круг потенциальных жертв за счёт аудитории, заботящейся о конфиденциальности. Многие из них могут одновременно использовать криптовалютные сервисы или вести чувствительную переписку.

Технически атака основывалась на уязвимости CWE-427 (неконтролируемый элемент пути поиска) в Windows-клиенте X-VPN. Системная библиотека CRYPTBASE.dll не входит в список KnownDLLs, поэтому при её загрузке по имени Windows сначала проверяет папку программы, а уже затем системную папку. Злоумышленник воспользовался этим порядком, упаковав вредоносную копию библиотеки вместе с установщиком. После запуска троянизированного пакета CRYPTBASE.dll загружалась из папки приложения, одновременно подгружая настоящую системную библиотеку для сохранения работоспособности программы. Пользователь не замечал подмены, а вредоносная цепочка выполнялась в фоне.

Финальная нагрузка STX RAT загружалась в память методом рефлексивной инъекции, не оставляя файлов на диске. Троян позволял злоумышленнику получать удалённый доступ, выполнять команды, похищать сохранённые пароли браузеров, токены сессий и системные учётные данные. Весь исходящий трафик маскировался под обычный HTTPS, что затрудняло обнаружение на уровне сети.

Характерной чертой кампании стала её адаптивность. После первых публикаций о заражённых пакетах HWMonitor и других злоумышленник не свернул активность, а сменил инфраструктуру. Домен обратного вызова (C2) был перемещён с helloworld.supp0v3[.]com на welcome.supp0v3[.]com, а в конфигурации последнего пакета X-VPN обнаружен placeholder "changeme" в значении referrer. Это указывает на использование инструмента для сборки (builder): параметры подставлялись непосредственно перед распространением, что говорит о полуавтоматизированном процессе.

Координация с X-VPN началась 18 мая 2026 года, когда исследователи уведомили компанию. В течение двух рабочих дней разработчики подтвердили проблему, а 28 мая выпустили версию 77.5.2 для Windows, в которой внедрили три уровня защиты: загрузку системных DLL только из папки Windows, проверку хешей всех библиотек в папке программы при запуске и жёсткие правила загрузки для каждого процесса. Важно подчеркнуть, что сервисы и учётные записи X-VPN не были скомпрометированы. Риску подвергались только те пользователи, которые скачали установщик из стороннего репозитория, а не с официального сайта или магазинов приложений.

Масштаб угрозы остаётся высоким. Все 11 подтверждённых пакетов связаны одним корневым доменом supp0v3.com, одним методом доставки и одной финальной нагрузкой. Исследователи рекомендуют блокировать этот домен на периметре, отслеживать аномальную загрузку CRYPTBASE.dll из нестандартных путей и применять YARA-правила для обнаружения STX RAT в памяти. Пользователям X-VPN следует немедленно обновиться до версии 77.5.2 или новее, а также соблюдать гигиену установки ПО - загружать программы только из официальных источников. Учитывая, что злоумышленник продолжает менять тактику, новые волны заражений практически неизбежны.

Индикаторы компрометации

Domains

  • helloworld.supp0v3.com
  • supp0v3.com
  • welcome.supp0v3.com

URLs

  • https://bitbucket.org/amos-trading/dist-internal/raw/main/vendor/

Emails

  • pufferfish11@firemail.cc

SHA256

  • 10f9632491ec37a51d32f41d806e70894f12eed38b74ac2e1f44e9e22226348f
  • 4b68fcafac8ebe50d5ae489400f33ce01f85de4204eba01a1585fe49002c1582
  • 74b5d631cc6802a5790f99a4bfefd9b3dfcfb43007f9fc576f7dfd4eac69d52e
  • a2b2fe65819a955b8e2351dd3b75540a9cc38cd0009708a50db2bf9adb8e0657

Комментарии: 0