Специалисты по информационной безопасности обнаружили образец вредоносного программного обеспечения, которое распространяется через мессенджер Telegram под видом установщика популярного приложения. Найденный файл с названием Illusion-2.6.5-setup.exe оказался полнофункциональной версией известного коммерческого инструмента для кражи данных, продаваемого по подписной модели. Этот инцидент представляет серьезную угрозу как для обычных пользователей, так и для организаций, особенно тех, чьи сотрудники активно используют игровые платформы и социальные сети.
Описание
Вредоносная программа представляет собой поддельный установщик приложения на базе фреймворка Electron, упакованный с помощью специального инсталлятора. Внутри этого внешнего контейнера скрывается основной механизм, который сочетает в себе функции похитителя сохраненных паролей и cookie-файлов, а также удаленного управления зараженным компьютером. Найденный экземпляр относится к версии 2.6.5 продукта, который на теневых форумах известен под названием Silent Stealer. Распространитель, действующий под псевдонимом ShinySpider, встроил в оболочку инсталлятора собственный модуль, что позволило исследователям точно установить канал распространения.
Как только жертва запускает установку, программа начинает действовать по многоступенчатому сценарию. Прежде всего, она пытается обойти защитные механизмы операционной системы. Для этого используются четыре различных метода обхода контроля учетных записей, которые позволяют получить права администратора без ведома пользователя. После этого злоумышленник добавляет папку с вредоносным кодом в список исключений антивируса, фактически лишая пользователя защиты. Для закрепления в системе применяется сразу пять механизмов, включая запись в реестр, создание ярлыков в автозагрузке, добавление задания в планировщик, подписку на события через инструментарий управления Windows и перехват COM-объектов. Это делает удаление программы крайне сложным.
Главная цель атаки - сбор максимального количества конфиденциальных данных. Вредоносное приложение останавливает все запущенные браузеры, чтобы получить доступ к их базам данных. Затем оно извлекает сохраненные пароли, файлы cookie, данные автозаполнения и информацию о платежных картах из всех популярных обозревателей на основе Chromium. Для этого используется собственная реализация расшифровки через служебную функцию Windows. Помимо браузеров, под удар попадают криптовалютные кошельки, сохраненные как в виде расширений, так и в виде настольных приложений. Также вор автоматически собирает сессионные данные из мессенджера Telegram, что позволяет злоумышленнику перехватить контроль над аккаунтом без ввода пароля.
Отдельного внимания заслуживает модуль для работы с игровыми платформами. Злоумышленники нацелены на кражу сессий Discord, Steam, Roblox, Minecraft и TikTok. Для Roblox программа делает множество запросов к серверам, получая не только основную информацию, но и данные о транзакциях, подписках и сохраненных способах оплаты. Аналогично, для Steam используется встроенный API-ключ, позволяющий выгрузить полную библиотеку игр. Все собранные данные упаковываются в архив и отправляются на облачный сервис для хранения, после чего ссылка на скачивание передается оператору через служебный канал в Discord.
Кроме функции похитителя, в программе реализован полноценный механизм удаленного управления. Через веб-интерфейс оператор может выполнять произвольные команды, просматривать содержимое дисков, делать снимки экрана, отправлять на компьютер жертвы звуковые файлы и показывать ей всплывающие сообщения. Возможности включают даже принудительную перезагрузку или вызов синего экрана смерти. Исследователи выяснили, что управляющая панель доступна из интернета и не требует аутентификации для загрузки файлов, что является грубой ошибкой в оперативной безопасности.
Специалисты компании Ransom-ISAC в отчёте подробно описали все аспекты этой угрозы и отметили разделение ролей между автором вредоносной программы под псевдонимом @MainSilent и распространителем ShinySpider. Инфраструктура, используемая для управления ботами, покоится на облачных серверах и частично использует бесплатный тариф облачного провайдера. Активность злоумышленников, судя по анализу, в первую очередь нацелена на игровое сообщество: ворованные сессии Discord, Roblox и Minecraft имеют высокую ликвидность на черном рынке.
Чтобы защититься от подобных угроз, специалисты рекомендуют соблюдать базовые правила цифровой гигиены. Никогда не устанавливайте приложения из непроверенных источников, особенно если они приходят в виде единичных исполняемых файлов из мессенджеров. Используйте многофакторную аутентификацию для важных учетных записей, что хотя и не защитит от моментальной кражи сессии, но затруднит последующее использование токенов. Регулярно обновляйте операционную систему и антивирусное программное обеспечение.
Стоит подчеркнуть, что, несмотря на мощный арсенал, данный образец не содержит функций вымогателя. Он не шифрует файлы пользователя и не требует выкупа, а сосредоточен исключительно на краже и удаленном управлении. Однако его способность долгое время оставаться незамеченным, обходить защиту и перехватывать сессии делает его крайне опасным. Пользователям, которые заметили признаки заражения - необъяснимую активность диска, закрытие браузеров, появление неизвестных процессов - следует немедленно запустить полную проверку системы и сменить все пароли.
Индикаторы компрометации
URLs
- https://website4funlol.onrender.com/assets/index-BgQx6xvA.js
MD5
- 2251c98a7d0b5a9361db29fc12cff610
- 39fd76c8f63b7d1d0dde94b3b77a6e4c
- 7dd7c9d99fafa52c9cdd2525bce4b24d
- 89d29d674df2f52e3fcc8d4b1f97cb1f
SHA256
- 18cb4c00c9eac622a6c7265ada3dbcf23ce750b028f905c9d78ea0384f5b3c8d
- 58df506144fa0ee4f6ab5bde8eb7f2d19ea4b3ad0b2d4e687ff9d63f60688c09
- 7b2d4fff1e3b8d201c2bb9452100c58dd8856a0364db2d284fe44e7ace62d242
- 807b178ffa725e9869dca5c0087fae9abcd3cfad5a1e7065304000a6c5262b76
- 96c2445c13e00291be29c5c31d6ca1dc9b5caf4efa8a07140ef22b48362b055b
- 996a259e53ca18b89ec36d038c40148957c978c0fd600a268497d4c92f882a93
- 9b7a8d09b3c86b8ea9cc338a033b37e0d086113ba479e8f48672271d4713df99
- be679a3ad224069dee3fcb011ddecb75de44f63f2816da5891e058a4619808df