Katz Stealer: Опасный MaaS-троянец для кражи учетных данных и криптовалютных активов

Модель распространения и управление через веб-панель

Katz Stealer продается как сервис на специализированных форумах (например, BreachForums), а также в Telegram и Discord. Подписчики получают доступ к веб-панели, где могут генерировать персонализированные вредоносные модули, управлять украденными данными и настраивать параметры атак. Гибкость сервиса, простота использования и доступная цена (от $100 за месяц до $480 за полгода) сделали его популярным среди злоумышленников разного уровня подготовки.

Многоэтапная схема заражения

Атаки начинаются с фишинговых писем или поддельных загрузок, содержащих архивные файлы с JavaScript-дроппером. После выполнения скрипт запускает PowerShell, который загружает изображение с замаскированной полезной нагрузкой. Данные в изображении скрыты с помощью стеганографии - base64-строка спрятана между специальными маркерами, что усложняет обнаружение.

Далее Katz Stealer использует обход UAC через утилиту cmstp.exe и внедряется в процесс MSBuild.exe, получая права SYSTEM. Для устойчивости создается задача в планировщике, а также проверяется окружение: язык системы, наличие виртуальных машин и время работы компьютера. Это помогает избегать анализа в песочницах и целевых атак на пользователей из СНГ.

Функционал кражи данных

Троянец фокусируется на данных браузеров (Chrome, Firefox, Edge), мессенджеров (Telegram, Discord) и игровых платформ (Steam). Он может извлекать сохраненные пароли, куки, токены сессий, данные автозаполнения и даже CVV-коды карт. Важной особенностью является обход защиты браузеров: для Chromium Katz Stealer находит файл Local State с мастер-ключом шифрования и расшифровывает пароли через Windows API.

Криптовалютные кошельки - еще одна ключевая цель. Троянец ищет файлы Exodus, Coinomi, MetaMask и других, копируя seed-фразы и приватные ключи. Кроме того, он перехватывает данные из буфера обмена, чтобы захватывать адреса кошельков и одноразовые коды.

Коммуникация с серверами управления

Каждый экземпляр Katz Stealer содержит жестко прописанный IP-адрес C2-сервера. Данные передаются через HTTPS, при этом крупные файлы разбиваются на части. Если связь прерывается, троянец продолжает попытки подключения, оставаясь активным. После завершения операции злоумышленники могут удалить следы, очистив временные файлы и завершив вредоносные процессы.

Вывод

Katz Stealer сочетает современные техники (стеганографию, инъекцию процессов, обход UAC) с классическим социальным инжинирингом. Его распространенность растет из-за доступности и эффективности, что делает его серьезной угрозой для пользователей и компаний. Для защиты рекомендуется избегать подозрительных вложений, использовать двухфакторную аутентификацию и актуальные антивирусные решения с поведенческим анализом.

IPv4

• 172.67.146.103
• 185.107.74.40
• 195.182.25.71
• 31.177.109.39
• 80.64.18.219

Domains

• katz-panel.com
• katzstealer.com
• katz-stealer.com
• pub-ce02802067934e0eb072f69bf6427bf6.r2.dev
• twist2katz.com
• Zxczxczxczxc.twist2katz.com

SHA1

• 0076795b220fa48c92b57994b015119aae8242ca
• 0c1f2ee0328e0ed7e4ec84ef452bffa1749f5602
• 17ce22264551bd32959790c4c2f57bec8304e2ce
• 1976a1a05a6a47ac33eb1cfc4e5a0eb11863f6eb
• 1b6b072df8f69a47fd481fa9be850c0063fd5b93
• 1d5ef46357eb2298b1c3c4faccbaafa729137613
• 1ee406eb68ab92bad77cf53df50c4ce6963e75fd
• 26e089bed61c0d89e5078f387bd55dd5895d4fc0
• 29daa866c85fc1e302c40a73bc2a0772aa285295
• 2f2ced67e87101f4d1275456f0861209809492fc
• 3cf4f3ababa912e0e6bb71ab5abb43681d8e7ecc
• 47ea1c41f79f775f0631191ee72852c1bfb61a7e
• 4e69cb16a3768733d94bb1b5d8f1556d0bddd09b
• 4eeda02db01cdf83948a83235c82e801522efa54
• 5179dbf5e9fd708f6e6df8b4913f21c3b78d5529
• 5492947d2b85a57f40201cd7d1351c3d4b92ae88
• 571b3681f7564236b7527d5b6fe14117f9d4de6d
• 5de014856702b9f1570944e8562ce283f7cd0a64
• 6351b5505dc671d143d5970eb08050d2f7344149
• 680984e43b76aa7a58ed9b617efe6afcb1f04bb7
• 6d88a5f0021278c2c3a56c177f39f4a31f286032
• 76bb7ffe523f594308ecd482db4f32047905c461
• 80f1b8b27833db614d3f7c2a389aceb033b8ce80
• 82dc7c0ca39f114c333caae9a6931a2a1c487ee5
• 8c2422ebab77a0de81d2e46e1326d8912b099018
• 9becb041aedc7c6aafeb412b4b91788e1df65b38
• 9c60a2b4764b7b5e3a6c7f20036490a539996d8a
• a0717a486b4e037871c4657cf353cd298f13601f
• b3d574dfb561f5439930e2a6d10917f3aa58c341
• b40e56439d4dcdc238b8254adbd8862c73ca34bc
• b61f92613dc911609b78a1e83c5baadc7e289dbc
• b744179d3304d1e977e680502d201b7df49cb188
• bbf2a5fdb039366b3f9eca603bf08ae92c43c0ef
• cc800e4977d76c38656f3f60c5ed5f02df6a2f7b
• ce19aa5eb7fce50dd94b5f740d162f8d9b057fde
• da5ed6b939f51370709f66cbf0d8201ec8cd58b0
• dffc1167399631ed779b5698d0ac2d9ea74af6c8
• dffddd2fb7b139d2066284c5e0d16909f9188dc2
• e26d65d8c25b0be7379e4322f6ebcadecbb02286
• e78f942ca088c4965fcc5c8011cf6f9ee5c2a130
• fb4792306f2cf514e56bc86485920b8134954433

qTOX ID

• 375AB62BD333F80905E612DB71BEE06660C40F00AAF393FD7F8605DF5761E47670B6578C9410