StealC - это популярное вредоносное ПО, которое начало продаваться в январе 2023 года. В марте 2025 года была выпущена версия 2 (V2) StealC с рядом значительных обновлений, таких как улучшенный протокол C2 и добавление шифрования RC4.
Описание
Теперь программа может доставлять полезную нагрузку через пакеты MSI и PowerShell, а также содержит интегрированный конструктор для настройки правил доставки. Дополнительные функции включают захват экрана и перебор учетных данных.
Статья обновленного блога описывает улучшения в StealC V2, включая шифрование, доставку, панель управления и протокол связи. Версия 2 поддерживает новые загрузчики, настраиваемую доставку и функцию захвата. Zscaler ThreatLabz отметила использование StealC V2 через Amadey и его использование для распространения.
StealC V2 использует сетевой протокол JSON с RC4-шифрованием, дополнительные возможности доставки, включая MSI и PowerShell, а также обновленную панель управления с улучшенной функциональностью. Технический анализ показал, что вредоносная программа обфусцирует строки и использует защиту кода Themida, а также улучшенные API-функции и процессы деобфускации.
StealC V2 тщательно проверяет параметры перед выполнением, учитывает специфические аспекты системы и декодирует строки конфигурации. Новая версия предлагает функции API в различных DLL и улучшает процедуры проверки, не запуская дублирующие экземпляры и работая на определенных языках. Новые функции позволяют выполнять кражу данных эффективно и без обнаружения противниками.
Индикаторы компрометации
URLs
- http://45.93.20.28/3d15e67552d448ff.php
- http://45.93.20.64/c090b39aa5004512.php
- http://88.214.48.93/ea2cb15d61cc476f.php
SHA256
- 0b921636568ee3e1f8ce71ff9c931da5675089ba796b65a6b212440425d63c8c
- 27c77167584ce803317eab2eb5db5963e9dfa86450237195f5723185361510dc
- 87618787e1032bbf6a6ca8b3388ea3803be20a49e4afaba1df38a6116085062f
- a1b2aecdd1b37e0c7836f5c254398250363ea74013700d9a812c98269752f385
- dd36c7d50cb05761391a7f65932193ec847d34f8ba1bb2f2a43ecf4985d911f4
- e205646761f59f23d5c8a8483f8a03a313d3b435b302d3a37061840b5cc084c3