Исследователи обнаружили масштабную и изощрённую кампанию по распространению нового ворующего данные вредоносного ПО (информационного стилера), отслеживаемого как NWHStealer. В отличие от типичных фишинговых атак, злоумышленники используют сложную стратегию, маскируя зловред под легитимное и востребованное программное обеспечение: от клиентов VPN и утилит для мониторинга аппаратного обеспечения до игровых модов и читов. Это значительно повышает вероятность успешной инфильтрации, так как пользователи целенаправленно ищут и скачивают такие файлы, не подозревая об угрозе.
Описание
Вредоносная программа, получив доступ к системе, способна похищать критически важные данные: историю браузеров, сохранённые пароли, cookies, а также информацию из криптовалютных кошельков. Собранные данные позволяют злоумышленникам получать несанкционированный доступ к аккаунтам жертв, в том числе к банковским и почтовым, осуществлять кражи средств и использовать компрометированные учётные записи для дальнейших атак. Механизмы распространения NWHStealer отличаются разнообразием и использованием доверенных платформ. В качестве приманок (lure) выступают установщики популярных VPN-сервисов, утилиты для контроля загрузки видеокарты и процессора, программы для майнинга, а также игры и моды для них. Файлы размещаются на поддельных сайтах, имитирующих легитимные сервисы вроде Proton VPN, а также на хостингах кода GitHub и GitLab, файлообменниках MediaFire и SourceForge. Ссылки на вредоносные архивы также активно распространяются через описания к видео на YouTube, посвящённым играм и вопросам безопасности.
В рамках исследования подробно разобраны два характерных случая заражения. Первый, наиболее неординарный, связан с использованием бесплатного хостинг-провайдера OnWorks, который позволяет запускать виртуальные машины прямо в браузере. На его страницах для скачивания размещены ZIP-архивы с именами легитимных утилит, таких как OhmGraphite или HardwareVisualizer. Внутри архива находится исполняемый файл, содержащий в себе вредоносный код-загрузчик. Этот код обфусцирован для затруднения анализа, проверяет окружение на наличие инструментов отладки и, используя криптографические API Windows (BCrypt), расшифровывает и загружает в память следующую стадию вредоносной цепочки. Второй кейс демонстрирует классическую, но от этого не менее эффективную схему с поддельными сайтами. Злоумышленники создали клон официального ресурса Proton VPN, ссылки на который распространяются через взломанные каналы на YouTube с искусственно сгенерированными видеоинструкциями. Скачанный архив использует технику подмены DLL: легитимный исполняемый файл (например, WinRAR) загружает вредоносную библиотеку с именем вроде WindowsCodecs.dll, которая и несёт основную нагрузку.
Финальный этап атаки - выполнение непосредственно вора данных NWHStealer. Он может работать непосредственно в памяти или внедрять свой код в процессы системы, такие как RegAsm.exe. Основная задача стилера - сбор и эксфильтрация конфиденциальной информации. Программа сканирует файловую систему и реестр в поисках данных более чем 25 различных криптовалютных кошельков. Параллельно она собирает информацию из популярных браузеров: Microsoft Edge, Google Chrome, Opera, Brave и других. Для извлечения зашифрованных данных браузера вредоносное ПО внедряет собственную DLL в процессы браузеров, что позволяет обойти встроенные механизмы защиты. Собранные данные шифруются алгоритмом AES-CBC и отправляются на сервер управления (C2). В случае недоступности основного сервера, программа использует резервный канал связи через Telegram для получения нового адреса. Для повышения привилегий и обеспечения устойчивости в системе стилер применяет известный метод обхода контроля учётных записей (UAC) через утилиту CMSTP, а также создаёт скрытые задачи планировщика для автоматического запуска при входе пользователя в систему.
Угроза, которую представляет NWHStealer, носит комплексный характер. Атака начинается не с подозрительного письма, а с целенаправленного поиска пользователем нужного ему инструмента. Использование авторитетных платформ вроде GitHub и YouTube, а также подмена известных брендов размывает границы доверия. Последствия успешного заражения выходят далеко за рамки единовременной кражи паролей. Компрометация криптовалютных кошельков ведёт к прямым финансовым потерям, доступ к почтовым и соцсетевым аккаунтам открывает возможности для целевых фишинговых атак на контакты жертвы, а внедрённое вредоносное ПО может служить плацдармом для более глубокого проникновения в корпоративную сеть, если заражённым оказался рабочий компьютер. Особенность данной кампании - её гибридность и адаптивность, что делает её опасной как для рядовых пользователей, так и для организаций.
Индикаторы компрометации
Domains
- get-proton-vpn.com
- newworld-helloworld.icu
- vpn-proton-setup.com
URLs
- https://github.com/PieceHydromancer/Lossless-Scaling-v3.22-Windows-Edition/releases/download/Fps/Lossless.Scaling.v3.22.zip
- https://sourceforge.net/projects/sidebar-diagnostics/files/Sidebar%20Diagnostics-3.6.5.zip
- https://t.me/gerj_threuh
- https://www.onworks.net/software/windows/app-hardware-visualizer
SHA256
- 2494709b8a2646640b08b1d5d75b6bfb3167540ed4acdb55ded050f6df9c53b3
- e97cb6cbcf2583fe4d8dcabd70d3f67f6cc977fc9a8cbb42f8a2284efe24a1e3
