2 февраля 2025 года в даркнете обнаружен новый вредоносный стилер Hannibal, который представляет собой переработанную версию ранее известных угроз Sharp Stealer и TX Stealer. Этот зловред активно распространяется через специализированные форумы, такие как BreachForums и Darkforums, а также продвигается через Telegram-каналы.
Описание
Чем опасен Hannibal Stealer?
Кража данных: Вредонос нацелен на браузеры (Chrome, Firefox и др.), обходя защиту Chrome Cookie V20, а также ворует данные из криптокошельков, FTP-клиентов, VPN-конфигураций и мессенджеров (Telegram, Discord).
Системный шпионаж: Собирает информацию об ОС, железе, сетевых настройках и даже подменяет криптоадреса в буфере обмена.
Геофильтрация: Автоматически избегает атак на страны СНГ (Россия, Беларусь, Украина, Казахстан и др.), что может указывать на происхождение авторов.
Удобство для киберпреступников: Управление через Django-панель, где можно просматривать логи, скриншоты жертв и украденные данные.
Бизнес-модель
Злоумышленники предлагают подписки на стилер:
- $150 — 1 месяц
- $300 — 3 месяца
- $650 — 7 месяцев
Также доступна оптовая установка для массовых атак, что ускоряет распространение.
Связь с прошлыми угрозами
Hannibal разработан теми же авторами, что стояли за Sharp и TX Stealer, о чем свидетельствуют совпадения в никах, методах продвижения и кодовой базе. Хотя технически это эволюция, а не революция, его опасность — в сочетании финансового мошенничества и хактивистских целей.
Вывод
Hannibal Stealer — очередной пример профессионализации киберпреступности. Его появление подтверждает тренд на слияние финансовых атак с идеологически мотивированными кампаниями.
Индикаторы компрометации
Domains
- www.hannibal.dev
URLs
- http://45.61.141.160:8001/login/
- http://45.61.151.60/login/
MD5
- d18961f7777d329e17cfb824926d9e12
SHA256
- 251d313029b900f1060b5aef7914cc258f937b7b4de9aa6c83b1d6c02b36863e
- f69330c83662ef3dd691f730cc05d9c4439666ef363531417901a86e7c4d31c8