Кампания по распространению вредоносного ПО под видом читов для Roblox: кража данных и обход защиты

Stealer

Игровое сообщество Roblox давно стало благодатной средой для распространителей вредоносных программ. Пользователи, стремящиеся получить нечестное преимущество, привыкли игнорировать предупреждения антивирусов. Злоумышленники используют эту усталость от ложных срабатываний, чтобы маскировать троянизированные полезные нагрузки под легитимные инструменты для запуска читов. Новая кампания демонстрирует редкостную для такого сегмента изощрённость: под видом исполнителя скриптов Lua для Roblox скрывается многоступенчатый стилер, способный обходить современные механизмы защиты браузеров и выводить ценные данные.

Описание

Жертва получает приложение на платформе .NET 4.8 с графическим интерфейсом, построенным на базе Windows Presentation Foundation. Оно выглядит как полноценный функциональный редактор скриптов со встроенным искусственным интеллектом DeepSeek. Однако ещё до того, как пользователь начинает изучать возможности программы, в фоне запускается второй этап: загрузка и выполнение основного вредоносного компонента. В аналитическом отчёте экспертов по информационной безопасности детально описана архитектура этой атаки, основанная на полном статическом анализе и дизассемблировании байт-кода.

Разработчики вложили серьёзные усилия в создание убедительной приманки. Интерфейс позволяет редактировать скрипты, искать их через ScriptBlox и даже взаимодействовать с DeepSeek. Для большей достоверности приложение использует библиотеку Costura.Fody, загружающую зависимости прямо из памяти. Если отсутствует необходимый для реального впрыска в Roblox исполняемый файл SLaunch.exe, программа не падает, а показывает французское предупреждение и продолжает работать, удерживая жертву занятой.

Особый интерес представляет интеграция искусственного интеллекта. Пользователю предлагается ввести личный ключ API DeepSeek, который затем сохраняется в открытом виде на диске. Этот ключ немедленно попадает в зону сбора стилера. Кроме того, модуль AIReconstructor извлекает исходный код из файлов Roblox (.rbxlx) и отправляет его в DeepSeek с запросом на деобфускацию, что создаёт дополнительную легитимную нагрузку на систему.

Пока жертва наслаждается функциями ИИ, второй этап загрузчика (SilentLoader) выполняет цепочку действий для установки стилера. Сначала он пытается добавить текущий каталог в исключения Защитника Windows через PowerShell-команду с повышением привилегий. Поскольку исполнители читов обычно требуют прав администратора, пользователь без колебаний соглашается на запрос контроля учётных записей (UAC). Затем загрузчик получает конфигурацию с Pastebin, дешифруя её с помощью XOR-ключа. В конфигурации указан адрес на MediaFire, откуда парсер извлекает прямую ссылку для скачивания основного вредоносного исполняемого файла. Этот файл сохраняется по пути %APPDATA%\.cache\winupdate.exe с атрибутами "скрытый" и "системный", после чего запускается в фоне.

Второй этап упакован с помощью PyInstaller и содержит скомпилированный Python 3.12. Из-за изменений в байт-коде, внесённых в соответствии с PEP 659, стандартные декомпиляторы не работают, поэтому исследователям пришлось восстанавливать логику вручную. Внутри скрывается порт семейства стилеров Glove Stealer, реализованный на Python. Его главная особенность - продвинутая система обхода App-Bound Encryption браузера Google Chrome (версии 127 и старше). Стилер использует пять альтернативных методов: от аппаратных точек останова в отладчике до манипуляций с COM-интерфейсом повышения привилегий Chrome и двойных вызовов DPAPI с захватом токена SYSTEM из процесса lsass.exe.

Параллельно вредоносное ПО проводит серию антианалитических проверок. Оно ищет в списке процессов отладчики и анализаторы (idaq.exe, wireshark.exe и другие) и при обнаружении засыпает на две-четыре минуты, после чего завершается. Активно патентуется память: в amsi.dll перезаписывается точка входа AmsiOpenSession, чтобы блокировать антивирусные проверки, а в ntdll.dll отключается запись событий ETW. Кроме того, фоновый поток периодически отключает мониторинг Защитника Windows в реальном времени.

После запуска стилер собирает огромный объём данных. Сюда входят базы данных двухфакторной аутентификации (Authy, WinAuth), заметки из Obsidian, Joplin, Notion, криптокошельки (MetaMask, Phantom, Trust Wallet), учётные данные игровых лаунчеров (Steam, Epic, Riot, Minecraft), мессенджеры (Telegram, Signal, Slack, Teams), VPN-конфигурации и менеджеры паролей. Особое внимание уделяется пользователям Roblox: модуль охотится за .ROBLOSECURITY-куками, а затем обращается к внутренним API игры, чтобы получить баланс Robux, премиум-статус и сведения о торговых операциях.

Собранные данные упаковываются в ZIP-архив прямо в памяти - это помогает избежать срабатывания эвристик файловых операций. Максимальный размер части - 25 мегабайт, при превышении архив режется на куски, которые отправляются через Discord Webhook с интервалом в одну секунду. Дополнительно запускается Discord-бот, управляющий удалённым доступом. Через указанный канал (идентификатор 1511075836818882591) злоумышленники могут делать снимки с веб-камеры, выполнять произвольные команды, запускать кейлоггер и захватывать сетевые пакеты.

Для закрепления в системе стилер использует шесть методов персистентности: задача в планировщике, запись в реестр автозапуска, VBS-скрипт в папке автозагрузки, перехват COM-объекта, добавление вызова в профиль PowerShell и подписка на события WMI. Такое разнообразие практически гарантирует, что даже после частичного удаления вредоносная программа восстановится.

Эта кампания наглядно демонстрирует эволюцию угроз для игрового сообщества. Разработчики читов для Roblox создали не безобидное мошенничество, а полноценную платформу для кражи конфиденциальных данных, нацеленную на разработчиков и активных пользователей. Ключевой вывод для специалистов по безопасности: индикаторы компрометации, связанные с этим стилером (хеши, URL Pastebin и MediaFire), должны быть немедленно внесены в списки блокировки. А обычным пользователям стоит помнить: любой инструмент, требующий отключения антивируса или запуска с правами администратора, с высокой вероятностью несёт скрытую угрозу.

Индикаторы компрометации

URLs

  • https://pastebin.com/raw/4ubCKBwD
  • https://pastebin.com/raw/a18wq6rG
  • https://pastebin.com/raw/ptXPHhQS

SHA256

  • 7ec70af57c96c75da3553bbdf333a8486be1c6ab9e07f6242443ec8db0318a5e
  • a5538a6dd83446eafbe356dc98016cc2aa62092f524f4db47546fb1552aa53b1

Комментарии: 0