Эксперты Splunk раскрыли механизмы работы программы-шпиона VIP Keylogger: стеганография, инжекция кода и кража криптовалют

Исследовательская группа Splunk Threat Research Team (STRT) провела детальный анализ этого семейства вредоносного ПО. Эксперты изучили не только сам кейлоггер, но и цепочку заражения, которая начинается с фишинговых писем и заканчивается внедрением полезной нагрузки в легитимные системные процессы. Результаты работы опубликованы в отчёте STRT, где разобраны ключевые тактики и техники, позволяющие обнаруживать угрозу на ранних этапах.

Исследователи отметили, что за последние месяцы кампании по распространению VIP Keylogger опираются на банальный, но всё ещё действенный метод: злоумышленники маскируются под деловую переписку. Письма с темой банковского уведомления, заказа на закупку или статуса доставки вынуждают жертву открыть вредоносное вложение. Анализ более двухсот случайных образцов загрузчиков, собранных с марта по апрель 2026 года, показал характерные имена файлов, имитирующие официальные документы.

Особый интерес представляет вариативность скриптовых загрузчиков. Специалисты STRT разобрали три наиболее популярных типа: .vbs, .js и .bat. Все они активно используют обфускацию - намеренное запутывание кода для обхода статического анализа. Например, VBS-скрипт дополнен мусорными строками в начале и конце файла, а реальная вредоносная нагрузка спрятана в середине. После декодирования шестнадцатеричной строки извлекается PowerShell-скрипт второго этапа.

Интересная особенность - использование пользовательских переменных окружения. Декодированный PowerShell сохраняется в переменную INTERNAL_DB_CACHE, а затем сразу удаляется. Такой приём позволяет минимизировать следы на диске. Однако факт создания или изменения записи в реестре HKCU\Environment остаётся заметным для систем мониторинга. Именно на это и предлагают обратить внимание аналитики.

Но главная техническая изюминка малвари - стеганография. Вредонос загружает два PNG-файла, внутри которых скрыты зашифрованные компоненты. Первый файл содержит загрузчик, который затем скачивает второй, несущий уже сам кейлоггер. Для извлечения данных используется простой алгоритм: поиск маркера начала, замена символов и обратное декодирование Base64. Такой метод отлично маскирует полезную нагрузку под обычную картинку.

Кроме того, загрузчики применяют шифрование. Один из скриптов PowerShell скачивает зашифрованный второй уровень, который после декодирования Base64 дешифруется алгоритмом AES. Полученные данные оказываются ещё одним скриптом, настраивающим выполнение финальной нагрузки. А в варианте .bat-загрузчика скрипт прячет PowerShell прямо под своим кодом, помечая его идентификатором REM_IT5kbjeaDNbs. После декодирования вредонос сохраняется как скрытый файл в папке Libraries и обеспечивает себе закрепление в системе через запись UserInitMprLogonScript в реестре. Это гарантирует автоматический запуск при каждом входе пользователя.

Финальный этап заражения использует технику отражённой загрузки кода. Третий загрузчик PowerShell расшифровывает два PE-исполняемых файла. Первый представляет собой .NET-модуль, который внедряет второй - сам VIP Keylogger - в процесс aspnet_compiler.exe. Этот легитимный компонент платформы .NET служит идеальным прикрытием для скрытного выполнения кейлоггера. В другом варианте загрузчик через .NET-код, компилируемый на лету командой Add-Type, выполняет шеллкод, который и расшифровывает окончательную нагрузку.

Что же делает сам VIP Keylogger после внедрения? Прежде всего он собирает системную информацию: имя хоста, IP-адрес, страну, геолокацию. Для этого он обращается к публичным веб-сервисам вроде reallyfreegeoip.org. Затем следует проверка на песочницу: малварь сверяет IP жертвы со списком известных адресов бот-сетей и ищет имя WALKER - характерные признаки исследовательских сред. Если подозрений нет, кейлоггер запускает механизм самоудаления: он скрыто запускает cmd.exe, который удаляет текущий исполняемый файл через три секунды после запуска.

Основная цель - кража учётных данных. Программа поддерживает более шестидесяти различных браузеров и приложений. Она извлекает сохранённые пароли, файлы cookie, историю, данные автозаполнения, сведения о кредитных картах. Используя единую структуру хранения Chromium, малварь системно разбирает базы данных. Кроме того, она сканирует локальное хранилище Discord на предмет токенов аутентификации, что позволяет захватить сессию без пароля.

Ещё одна яркая функция - перехват буфера обмена. Кейлоггер с помощью регулярных выражений ищет адреса криптовалютных кошельков: Bitcoin, Monero, Ethereum, Ripple и других. При обнаружении адрес бесшумно заменяется на адрес злоумышленника. Это прямой путь к краже цифровых активов.

Не забыт и классический кейлоггинг. Программа перехватывает каждое нажатие клавиши, включая ввод учётных данных. Для гарантированного доступа к файлам браузеров она предварительно завершает их процессы - это предотвращает блокировку баз данных. Помимо этого, VIP Keylogger добывает учётные данные Outlook и системный идентификатор Product ID из реестра Windows, а также регулярно делает скриншоты рабочего стола, сохраняя их в папку VIPREcovery.

Отдельного упоминания заслуживает сбор сетевой информации. Вредонос использует штатную утилиту netsh.exe для перечисления всех известных Wi-Fi-сетей и извлечения их паролей в открытом виде - команда netsh wlan show profile name=* key=clear выдаёт ключи без шифрования. Это открывает злоумышленникам доступ к другим системам в той же сети.

Выкачка данных осуществляется через несколько каналов управления. В одном из образцов обнаружены ссылки на Telegram-бота, а также адреса C2-серверов, некоторые из которых ранее уже фигурировали в других кампаниях. Такой подход усложняет блокировку трафика.

Исследователи STRT подготовили набор правил для Splunk, позволяющих выявлять активность VIP Keylogger. Они охватывают ключевые индикаторы: изменение реестра UserInitMprLogonScript, подозрительное выполнение PowerShell с переменными окружения, необычно длинные значения в ключах реестра Environment, запуск .NET-утилит из нестандартных путей, обращение к сервисам определения IP, доступ к файлам login data Chrome, создание исполняемых файлов в подозрительных каталогах и DNS-запросы к api.telegram.org. Особо стоит детектор цепочек вызовов API для инжекции процесса - он позволяет поймать малварь на этапе внедрения.

Хотя VIP Keylogger не использует принципиально новых техник - социальная инженерия, стеганография и инжекция кода известны давно - именно комбинация этих методов и широкий арсенал кражи данных делают его серьёзной угрозой. Бизнесу и частным пользователям следует обратить внимание на своевременное обновление правил обнаружения, обучение сотрудников фишингу и минимизацию привилегий учётных записей. Аналитики Splunk показывают: даже при ограниченных ресурсах правильная настройка логирования и корреляции событий позволяет выявить злоумышленника на раннем этапе, прежде чем он успеет нанести непоправимый ущерб.

SHA256

• 07ee41817b9f338719bea03676ab607349cc3accba0dddb800f6276a01cfdd9f
• 14b25dfcc6e7f69992b3f5543bcc9ebe86bd0b682e211f49cb62c019d8e9bc4d
• 2801ccd00ad4c93afcc23b9f8e5f56a8ddef81c1f4b331978d9b288a69f8ce4d
• 28613bfb4e866186133235a88e318df3059b01001f297ad6a524eab0885305a5
• 2df582bb41d1e6f0a6d44e8dbc1d8bca8e3d332bb268685b9dfc381a566c63a6
• 8d1f59c65ebe64d0e817ffe7ecbf1d5a4bc3768d896c934b00dfd57263c3fe15
• 8d5de337baa0b0938e4283324d3b1e8ccbdeed694aab3b6118910476200c621b
• 927c6d68f6413e437e4a919b2007f6a2ade32be71f80467856ce19a0325b63eb
• 93cca0789e92ef11ccc9abd411bdc621a34138aaee4db3241f5266bccc7eac78
• 95e6c6c13f65217f41c371abf6d03594b2bfed2259a1813bb4222fb2d3c32745
• 9905c76ccf4ebdd12e1df63047a3206026073781d885165e82d298656b5f4937
• 9bca7a3ac404807c63670141a3459eac24450e0cffbe1066cd3c8b503a917170
• a2862e4d2c722c7bfc86aa6c2c589455659b7a4ce6bb15ae55706df40e0f1f4e
• ae6918bfe8774e1ec1ec34f3db26e7e548dd0dc33a4e6fa80970e0bd2ba7ad9d
• b79d5ad4a4b03f9b153d27d356c6e62648fa87c2c378af407b894ed66119b921
• cbdecb69250504d0b00bf3a9ac2209e3f6000553aa0e8980489b8d88106af6b7
• d2ab8dcab70822c839912cb672e93de459e5608bea210c78a1be56b54cbd8f81