Аналитики компании CYFIRMA обнаружили новый вредоносный программный комплекс TinkyWinkey, представляющий собой sophisticated keylogger (кейлоггер - программа для перехвата нажатий клавиш) с расширенными возможностями системного мониторинга. Впервые зафиксированный 24-25 июня, этот malware (вредоносное ПО) демонстрирует серьезные технические возможности, позволяющие злоумышленникам незаметно получать конфиденциальную информацию пользователей.
Описание
TinkyWinkey состоит из двух основных компонентов: службы Windows под названием "Tinky Service", обеспечивающей постоянную работу вредоноса, и модуля "Winkey Keylogger", непосредственно отвечающего за перехват данных. Комплекс написан на C/C++ с использованием низкоуровневых Windows API, что обеспечивает высокую эффективность и скрытность работы.
Технический анализ показывает впечатляющую глубину сбора информации. Вредоносная программа собирает детальные данные о системе: модель и архитектуру процессора, объем оперативной памяти, версию операционной системы, сетевые идентификаторы. Особое внимание уделено точному определению характеристик CPU через инструкции CPUID, что позволяет злоумышленникам точно идентифицировать целевые системы.
Ключевой особенностью TinkyWinkey является реализация низкоуровневых клавиатурных hook'ов (перехватчиков), которые (перехватывают) все нажатия клавиш, включая специальные клавиши, мультимедийные кнопки и символы Unicode. Программа отслеживает смену раскладки клавиатуры, что особенно ценно при атаках на пользователей, работающих с несколькими языками. Все перехваченные данные коррелируются с активными окнами приложений, что позволяет атакующим точно определять, в каком контексте были введены те или иные credentials (учетные данные).
Для обеспечения скрытности используется техника DLL injection (внедрение динамической библиотеки) в доверенные процессы, в частности explorer.exe. Это позволяет вредоносному коду работать в контексте легитимных процессов, затрудняя его обнаружение системами безопасности. Постоянство достигается через регистрацию службы Windows с автоматическим запуском, гарантируя работу кейлоггера после каждой перезагрузки системы.
Все собранные данные записываются в файл logs_tw.txt в формате UTF-8 в временной папке системы. Структурированный формат лога облегчает последующий анализ и извлечение информации злоумышленниками.
Обнаружение TinkyWinkey подчеркивает растущую сложность киберугроз, ориентированных на кражу конфиденциальных данных. Сочетание продвинутых техник программирования, скрытности и комплексного сбора информации делает этот кейлоггер серьезной угрозой как для индивидуальных пользователей, так и для организаций. Эксперты по безопасности рекомендуют усилить мониторинг необычной активности служб, неожиданных загрузок DLL и подозрительных процессов, а также обеспечить регулярное обновление систем защиты.
Индикаторы компрометации
SHA256
- 7834a64c39f85db5f073d76ddb453c5e23ad18244722d6853986934b750259fd
- eb6752e60170199e4ce4d5de72fb539f807332771e1a668865aac1eee2c01d93
- fe6a696e7012696f2e94a4d31b2f076f32c71d44e4c3cec69a6984ef0b81838a
YARA
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 | import “hash” rule TinkyWinkey_Keylogger_BySHA256 { meta: author = “CYFIRMA” date = “2025-08-26” description = “Detects TinkyWinkey components by SHA-256 (svc.exe, winkey.exe, keylogger.dll)” sha256_1 = “fe6a696e7012696f2e94a4d31b2f076f32c71d44e4c3cec69a6984ef0b81838a” // svc.exe sha256_2 = “7834a64c39f85db5f073d76ddb453c5e23ad18244722d6853986934b750259fd” // winkey.exe sha256_3 = “eb6752e60170199e4ce4d5de72fb539f807332771e1a668865aac1eee2c01d93” // keylogger.dll reference = “GitHub: TinkyWinkey keylogger” condition: uint16(0) == 0x5A4D and // PE ‘MZ’ header filesize < 100MB and ( hash.sha256(0, filesize) == “fe6a696e7012696f2e94a4d31b2f076f32c71d44e4c3cec69a6984ef0b81838a” or hash.sha256(0, filesize) == “7834a64c39f85db5f073d76ddb453c5e23ad18244722d6853986934b750259fd” or hash.sha256(0, filesize) == “eb6752e60170199e4ce4d5de72fb539f807332771e1a668865aac1eee2c01d93” ) } |
