DeerStealer: Сложный вредитель, крадущий данные под видом легального ПО

DeerStealer классифицируется как информационный вор (stealer). Его основная цель - сбор широкого спектра данных с компрометированных систем. В поле зрения попадают системная информация, учетные данные, данные веб-браузеров, криптовалютные кошельки, файлы офисных приложений, кэш мессенджеров и почтовых клиентов. Собранная информация тайно передается на удаленные серверы, управляемые злоумышленниками.

Атака начинается с того, что жертве подсовывают ZIP-архив, чаще всего маскирующийся под обновление для программы чтения документов. В данном случае архив под названием «Reader_pl_install.zip» содержал исполняемый файл Reader_pl_install.exe. Этот файл был подписан действующим цифровым сертификатом, похищенным, по всей видимости, у компании-разработчика легального ПО AOMEI. Использование валидной цифровой подписи является ключевым приемом для обхода базовых защитных механизмов, так как антивирусные решения часто доверяют подписанному коду. На момент анализа ни один из ведущих антивирусных двигателей не детектировал этот файл как угрозу.

Попав в систему, вредонос начинает сложную многоступенчатую процедуру. На первом этапе он создает несколько служебных директорий в системных папках и копирует туда свои компоненты. Для обмана пользователя и маскировки своей деятельности DeerStealer использует легитимный установщик Adobe Acrobat Reader (Reader_en_install.exe). Если вредоносный процесс запущен без прав администратора, он применяет технику обхода контроля учетных записей (UAC), используя уязвимость в автоматически повышающем привилегии COM-объекте (ICMLuaUtil). Это позволяет запустить установщик Adobe без появления предупреждающего окна UAC, создавая у пользователя ложное впечатление, что на компьютере просто устанавливается обычная программа. Если же права администратора уже есть, установщик запускается напрямую.

Пока внимание пользователя отвлечено установкой, в фоновом режиме активируется второй этап атаки. Создается задание в Планировщике заданий Windows, обеспечивающее автоматический запуск вредоноса при последующих включениях компьютера. Далее в игру вступает другой компонент - BinaryBri86.exe, который загружает из интернета пакет SOSOLXQT.msi. Этот MSI-пакет, в свою очередь, развертывает основной модуль кражи данных под именем Grid-Electr.exe.

Для сокрытия своей активности DeerStealer демонстрирует руткит-подобные возможности. Основной модуль внедряет свой вредоносный код в память легитимного процесса GFactory32.exe (подписанный файл от Acer Inc.). Сам вредоносный код хранится в скрытом временном файле с случайным именем (например, C6E653E.tmp), который невидим для стандартных пользовательских инструментов. Это значительно усложняет его обнаружение и анализ.

Установив постоянное присутствие в системе, DeerStealer приступает к тотальному сбору информации. Его возможности по краже данных обширны: он систематически обходит браузеры, приложения для обмена сообщениями, клиенты электронной почты, FTP- и VPN-программы, а также ищет файлы криптовалютных кошельков. Вся собранная информация шифруется и пересылается на командно-контрольный сервер (Command-and-Control, C2). В ходе наблюдений аналитики зафиксировали смену адреса C2-сервера, что свидетельствует о гибкости инфраструктуры злоумышленников и их стремлении избегать блокировок.

Угроза, которую представляет DeerStealer, подчеркивает необходимость комплексного подхода к безопасности. Технологии обнаружения, основанные исключительно на сигнатурах и репутации файлов, оказываются неэффективными против атак, использующих легальное ПО и ворованные цифровые подписи. Для защиты организациям и частным пользователям рекомендуется применять многоуровневую стратегию. Критически важно соблюдать правила кибергигиены: не открывать вложения и не переходить по ссылкам из непроверенных источников, особенно если речь идет о предложениях обновить программное обеспечение. Следует регулярно обновлять операционные системы и приложения, чтобы закрывать известные уязвимости, и использовать продвинутые системы защиты конечных точек (Endpoint Detection and Response, EDR), способные анализировать поведение процессов, а не только статические признаки. Повышение осведомленности пользователей о подобных тактиках обмана является важнейшим элементом противодействия сложным угрозам вроде DeerStealer.

IPv4

• 103.246.144.118
• 104.21.112.1
• 172.67.195.171

Domains

• loadinnnhr.today
• nacreousoculus.pro
• telluricaphelion.com

SHA256

• 0feaaabe6d0a2e29b636cf1f5f9d1b3f727518507ffc93fc881d64feefa2ab81
• 1432faeddfe57877873e8608ace13739ca66e8ce12b3453531e7eec4753df21d
• 263484f65c76fd3be147ad124a1feaa5240a1d0ce1695855f08f6c6968d1a30d
• 49ad6431fb67c29e1a2745092232898c491652ddf7115e0332382b42466d0734
• 5ec174af8a18a5516b8a6e11d8a27481d70df14d1edb67c48b5458ff44df9146
• 623ff1e6662986ab36336919fde5c48805b4a87b97af6f9abe09732e9ac45b8f
• 6f1bfbb8ba6d4eb4e7ce3ff16f1b8e95d601a5eccdd0d743141ac7c3841b11f3
• a03cec07324b0c3227e4f060b0fefc24d35482dfe690bc86df1a53211629837e
• b7ee370878fb4290097311e652222d8bab91c44a94063ea192100d4fd9dadb14
• ce62130f0392b40ab047392b47d523f66a55260c9fc2ec3d3727fab13fc87933
• d4b3a879fb6907c39a3b843ec5272a005e8fec25d8012c4a9fe9d0ada9f71d1f
• e189e7fe9cd6d63ecece8b8e8fafb773003db6009fb0c45dc2b21e77167938ba