Киберразведка обнаружила новый питон-стилер Inf0s3c Stealer, ориентированный на кражу конфиденциальных данных

Исполняемый файл импортирует широкий спектр функций Windows API для операций с файлами и каталогами, перечисления процессов, доступа к системной конфигурации, управления памятью и обеспечения безопасности, что поддерживает его функциональность по сбору данных. В процессе выполнения вредоносная программа систематически собирает детали системы, включая идентификаторы хоста, информацию о центральном процессоре и сетевую конфигурацию, а также делает снимки экрана. Она перечисляет запущенные процессы и создает иерархические представления пользовательских каталогов, таких как «Рабочий стол», «Документы», «Изображения» и «Загрузки». Все собранные данные организуются во временный рабочий каталог и компилируются в архив, защищенный паролем.

Анализ также указывает на автоматизированное поведение по эксфильтрации данных путем передачи упакованной информации на внешний канал связи, что отражает возможности по разведке хоста, агрегации данных и безопасной упаковке похищенной информации.

Бинарный файл, подвергнутый анализу, был идентифицирован как 64-разрядный переносимый исполняемый файл, сжатый с помощью UPX и дополнительно упакованный с использованием PyInstaller. После распаковки и извлечения были получены встроенные байт-код Python и ресурсы, что позволило детально изучить структуру и поведение вредоносной программы. Анализ охватывает слои упаковки исполняемого файла, импортированные функции Windows API, извлеченные компоненты и наблюдаемую функциональность, связанную со сбором данных и их хищением.

Среди ключевых возможностей Inf0s3c Stealer выделяются сбор системной информации, запущенных процессов, структур каталогов и паролей от беспроводных сетей. Вредоносная программа также делает скриншоты, захватывает изображения с веб-камеры и отображает поддельные сообщения об ошибках. Она похищает конфиденциальные данные, включая пароли, файлы cookie, данные автозаполнения, историю браузера, информацию о криптокошельках, токены Discord и данные Telegram. Для обеспечения устойчивости и кражи данных программа внедряется в Discord. Среди её целей - учетные записи игровых сервисов и другие распространенные файлы. Для обеспечения постоянного присутствия в системе она использует автозагрузку Windows и обход контроля учетных записей. В код внедрены проверки на наличие виртуальных машин, а также возможность блокировки сайтов, связанных с антивирусным программным обеспечением. После выполнения программа может самостоятельно удалиться. Для уклонения от обнаружения она включает функцию «pump stub», искусственно увеличивающую размер файла.

Статический анализ исполняемого файла Build.exe показал, что это 64-разрядный исполняемый файл Windows формата PE размером 6 795 238 байт с очень высоким значением энтропии, равным 8,000, что указывает на его упакованность. Точка входа содержит нетипичные инструкции, подтверждающие возможность обфускации. Бинарный файл упакован с помощью UPX 5.02, а модифицированные оверлеи и добавленные данные, начинающиеся со смещения 0x00022000, соответствуют практике PyInstaller по внедрению байт-кода Python, библиотек и ресурсов в исполняемый файл.

После удаления упаковки UPX исполняемый файл был восстановлен до своей первоначальной формы, упакованной PyInstaller, с чистыми разделами PE и видимым импортом, что позволило проанализировать его байт-код Python и поведение во время выполнения. Исполняемый файл импортирует набор функций Windows API, связанных с файловыми операциями, управлением процессами, контролем среды, обработкой памяти и системным взаимодействием, что указывает на возможности, consistent с перечислением системы, обеспечением устойчивости и потенциальными методами уклонения.

Извлеченный код включает функцию, которая создает защищенный паролем архив RAR собранных данных, используя rar.exe из каталога PyInstaller, и применяет настроенный или пароль по умолчанию. Код проверяет, включен ли сбор системной информации, регистрирует действие и подготавливает путь к каталогу, где будет сохранена украденная информация. Он выполняет команды Windows systeminfo и getmac для сбора детальной информации о системе и MAC-адресах, сохраняя результаты в текстовых файлах. Функция запускает команду tasklist для захвата всех запущенных процессов и сохраняет вывод в текстовый файл. Она перечисляет общие пользовательские каталоги и генерирует структурированное представление их содержимого. Для обеспечения постоянства программа копирует исполняемый файл в папку автозагрузки Windows, маскируя его под расширение .scr.

Динамический анализ показал, что при выполнении Build.exe незаметно вызывает несколько команд PowerShell через командную строку для сбора информации о хосте, включая конфигурацию системы, сетевые детали, запущенные процессы и структуры каталогов из общих пользовательских папок. Затем он создает каталог во временной папке %temp% для хранения собранных данных и сгенерированных файлов, служащих изолированным рабочим пространством граббера. Программа распаковывает и загружает встроенные библиотеки зависимостей, включая среду Python и необходимые модули, что позволяет ей работать независимо от компонентов системы хоста. Затем программа создает подкаталоги для хранения системных деталей, списков процессов, сетевых данных и снимка экрана, которые организуются во временном каталоге перед архивированием и отправкой на канал злоумышленника в Discord.

Вредоносная программа успешно собирает информацию об IP-адресе, включая внешний IP, регион, страну, часовой пояс, обратный DNS, и подтверждает отсутствие использования прокси или VPN. Граббер нацелен на широкий спектр конфиденциальной информации, включая учетные записи и пароли Discord, файлы cookie, историю браузеров, данные автозаполнения, куки Roblox, сессии Telegram, криптовалютные кошельки, учетные данные Wi-Fi, сессии Minecraft и Epic Games, учетные записи Growtopia, скриншоты и другие связанные данные.

Анализ извлеченного скрипта выявил рутину обфускации, которая сжимает и кодирует в Base64 код Python, который затем восстанавливается и выполняется во время работы, обеспечивая защиту от проверки. Методы и структура, наблюдаемые в этом скрипте, тесно связаны с общедоступными проектами, распространяемыми тем же разработчиком, включая Blank Grabber и Umbral-Stealer. Эта последовательность в дизайне, стратегии обфускации и операционном поведении указывает на то, что автор проанализированного граббера может быть ответственен и за другие вредоносные проекты.

Схожесть его дизайна и методов с другими публично наблюдаемыми вредоносными проектами указывает на потенциал для быстрой итерации и широкого распространения. Организациям следует уделять приоритетное внимание проактивной защите конечных точек, мониторингу сети и обмену разведывательными данными об угрозах для обнаружения и нейтрализации развивающихся вариантов, наряду с повышением осведомленности пользователей и практиками безопасного обращения с данными для снижения воздействия таких угроз.

Проанализированный граббер иллюстрирует продуманный дизайн и операционную сложность современного вредоносного программного обеспечения для кражи информации. Комбинируя разведку системы, организованный сбор данных и зашифрованную упаковку, он достигает автоматизированной эксфильтрации, ограничивая видимость своих внутренних процессов. Наличие обфускации и модульного кода подчеркивает акцент на уклонении и адаптируемости. Его способность собирать разнообразную системную информацию и генерировать структурированные архивы демонстрирует четкую фокус на эффективной краже данных. Этот анализ подчеркивает важность непрерывного мониторинга, своевременной разведки угроз и комплексной защиты конечных точек для обнаружения и реагирования на такие развивающиеся угрозы.

SHA256

• 50ae8793dbf1d9b543ee3cfaa01cab0547dabb83033d1f142f2e672fcd0dc040