Новая версия MaskGram Stealer использует популярные сервисы как "тайники" для скрытого управления вредоносной инфраструктурой

Специалисты в области информационной безопасности столкнулись с новой эволюцией вредоносных программ, которые радикально усложняют обнаружение и нейтрализацию своих командных центров. Злоумышленники всё чаще отказываются от жёсткого прописывания адресов управляющих серверов в коде вредоносов, предпочитая динамически извлекать их из публичного контента легитимных платформ. Этот подход, известный как dead drop resolver (механизм разрешения "тайников"), стал ключевым для последней версии стилера MaskGram Stealer, что значительно повышает его живучесть и скрытность.

Описание

Суть техники DDR заключается в том, что вредоносная программа не содержит в себе конечного адреса для связи. Вместо этого она обращается к заранее определённым публичным страницам на популярных сервисах, таких как Steam, Telegram, Spotify или Chess.com, и парсит их контент в поисках скрытой команды или доменного имени. Злоумышленник может в любой момент изменить описание профиля, заголовок страницы или метатег, тем самым перенаправив всю свою бот-сеть на новый управляющий сервер без необходимости перекомпиляции или распространения обновлённых образцов вредоноса. Это не только затрудняет атрибуцию атаки и блокировку инфраструктуры, но и маскирует подозрительный трафик под легитимные запросы пользователей к известным сайтам.

В рамках нового исследования был детально проанализирован образец MaskGram Stealer, впервые обнаруженный в январе 2026 года. Этот стилер представляет собой многофункциональный инструмент для кражи данных, специализирующийся на сборе учётных данных из браузеров, криптовалютных кошельков, почтовых клиентов и мессенджеров. Однако его главной отличительной чертой стала продвинутая реализация DDR. Вместо простого парсинга HTML, вредонос использует упрощённый, но эффективный строковый поиск. Он последовательно загружает страницы из заранее заданного списка источников и ищет в них специфические маркеры, например, метатег "og:title" для Telegram или поле ""summary"" для Steam. После нахождения маркера программа вырезает подстроку до определённого разделителя, затем декодирует её, получая в итоге настоящий адрес командного центра и параметры для подключения.

Маскировка идёт не только на сетевом, но и на системном уровне. Стилер использует прямые системные вызовы для обхода мониторинга безопасности, а также патчит функции трассировки событий для Windows, что снижает качество телеметрии, доступной средствам защиты. После установления связи с управляющим сервером программа способна загружать дополнительные модули в зашифрованном виде, что усложняет анализ сетевого трафика. Сбор данных организован по принципу задач, получаемых с сервера, что позволяет злоумышленникам гибко настраивать целевой перечень информации: от базового профилирования системы и скриншотов до конкретных данных установленных приложений и криптокошельков.

Распространение MaskGram Stealer тесно связано с экосистемой так называемых "чекеров" - инструментов для массовой проверки украденных учётных данных. Злоумышленники распространяют вредонос под видом взломанных бесплатных версий популярных платных чекеров, таких как "Netflix Hunter Combo Tool" или "Deezer Checker". Жертвы, ищущие лёгкие способы проверить слитые базы логинов и паролей, охотно запускают такие файлы, попадая в ловушку. Исследователи в своём отчёте подробно описали механизм работы DDR, подчеркнув, что использование нескольких резервных источников, включая Steam, Telegram, Chess.com и Spotify, делает инфраструктуру управления крайне устойчивой к попыткам её нейтрализации.

Подобные техники представляют серьёзный вызов для классических средств защиты, основанных на сигнатурах и чёрных списках доменов. Блокировка одного управляющего сервера становится бесполезной, если адрес можно моментально сменить, отредактировав публичную страницу на легитимном ресурсе. Это требует от специалистов по безопасности смещения фокуса с простого блокирования на глубокий анализ поведения и сетевой активности. Мониторинг неожиданных обращений к публичным API или странных паттернов парсинга веб-страниц может стать ключом к обнаружению подобных скрытых механизмов управления. Угроза со стороны MaskGram Stealer и аналогичных вредоносов подчёркивает растущую изощрённость киберпреступников, которые превращают повседневные интернет-сервисы в инструменты для ведения своих атак.

Индикаторы компрометации

Domains

derzkifrost-990.sbs
easternwhiskerholdings.sbs
frechkotikru-221.icu
gigglywhisker2010.sbs
huligankotru-451.icu
morozmyau-658.cfd
mosslotus2020.shop
mossypond2011.icu
noelmeowru-339.icu
pushokfrech-871.icu
pushokriotru-907.icu
shalyunkotmoroz-104.icu
velvetpaw2031.cfd

URLs

open.spotify.com/playlist/0kOKMG5IMRnIAnXth0u3l5
open.spotify.com/playlist/5iEHEaD1j6Xqou5h2SrnfW
open.spotify.com/playlist/7nvH7IXlQy805LLVaRhmg7
steamcommunity.com/profiles/76561198775809889/
steamcommunity.com/profiles/76561198892413110/
steamcommunity.com/profiles/76561199124586199/
t.me/decaliusbot
t.me/xtelegram_xstar_bot
www.chess.com/member/bvzxw
www.chess.com/member/elpsycongroooooo
www.chess.com/member/slcbz

MD5

55f212e298f3a1dc0a880cfeb81d35a6

SHA1

4d14e8298a824eea4467ef6b79c9b93ebb9df212

SHA256

030ad6b8f73cc8e9ba51a5fecbd4c2e0e0c5d325d477e6010cab60be5d47a527
07333b8d7180cbde2b766178d0da2e8ee5a1f891def1ed3a7b70d02539fc179a
07f089a696d22a19b275d2eb59e794abf148520301f4ea31c28a6453a73cd2ed
0bc21b1686d01a701aa433e85175cdaa730a9aed488c072f9059646842506629
0d88479286e5a8bbc457e954a4ba3c3a57598a7072333e1315b8f25bf91438ab
0f30c2f830149906db6179c91b2e1b3534f68416580ffd903a9013b56a982c8a
0fd44d7682390561df2604c0a773187a01b4ceb899d0ddb43862957d106651cd
18671648d2dedac7da9004a23cbe7351707c599693e078bb723d4fc6c8460c87
1a1f27189d83dd5b729f32092e3793a10e955da8c340edb9ef051b6527a1c595
1a2bc78b38f8da6359eef364994dce02976dfdf162d1d4b7be0636c9f7d2ea31
1c490b9de97566764ff4f4250bfe478119a5c06c547f05c0b9ee8bb65a6ac0ef
1cbb2f40b21153e4c6f978fa119671fc97657ac0f3c48b7121fc5ec865053cb0
2022ddb8f9becf2a3d4ed93a8a617ae8772e14403b679d0faf5e19cf51ae47db
20b7eed8adc4ca8a288fcace188e57b9cc81b80b08b112aa1b4907849129eaec
28b1c09f30cffa5d0eb6a4c8b0800b7ab8dd16bef0efbb63835ccb3312bfe206
296af679e7e4a6a5e32f48390fc9c83093279ccc09d13e49dbaf103338e68acc
29749ebb88004704d90433289e85a818652b1b6c7d5d3d52ba33bdd97f461ad8
30a28900f6d7c6cd2882ad80a548368e8131bf2042fcfe25ea2ff2e016de5098
3716c1857cd7c1bfbd4aab6be621f67936c66403f9c699dfaf46b40d4bd266fa
4b1e781efd13b83bb77e9c1be041bab4c3ea08c9d547c1bf721e13fbd3a0b8d4
4e02caf6795fcd4cabade4df4eeadd1ea571a5adb8494650145e5504da229d4a
5581868fe77839500edc8652a740c83085179a98e29f8e2d6e4e4e6874e2f692
57096cb262fc2b79c1beea4abc9a0d09ac6b44b25bb340630c83ffeaa033a25e
571d87788b23fa0b2550aa37dccc09b8eedff2b5a83fb2ad1de40462a1c707ec
62571d78ec2b682c600689772860b56f2ddcf39faea4cffcc3db9e66acf865c7
670379fc013d4781552ab1c6fd40481f947ecd7e33164c8d7f61746249f5dfdb
67457f26c477f67ce89dd9a9eec31fc72d700b23aaba18283a93be16d42bcc77
67c58f56bc0ca291749731f1710c44d936ac6780ab468eaea444df8e95f0cfe6
72955411b8c3a7d0c5822035f7839b977df7d36e42d419de40a02a528b9a4473
750f2ce4caff211027a9654bee0bdf97b9f5b257a7b86ae66ffbd0bdb4bd7b4d
7e81ae984fbb0e552b0b5db29aca8f46a74e834a4e0e9561d441c21cdacfef4e
8380c308a38fa67139b60a3e463d87d227ebcd988951bbeb50a1400a2734c475
904394850494c2c4dfaa3784d1b0604db91fc73b224aecb502a6e2c9f8ad3a35
93c8d17cfc1d37198ec68235361328afa953b3986bdd2be8cdce1b3908e32a9c
9c3d32168e7ad5a5334f0978079d89b4d58839a5b87f6d02134921defb456d3c
9f897befe16dfc4348e7c8b9f98b1e468baad41f708a8d86eeebf1c77a20e176
a2762c7d5dd0354ab0f00bf504d2bedb063c179f51588762af4cf7d229658798
a2972e09f373b1eb0fefd2fc631dc9474bec6c9eb556d25359211747214ab199
a48ba6c53ea28f201f07b4609bc41a0a02d4b36dd957676f1beb6c0d3ebcc265
a6810ba9cd0424f07b405a9a18ac098667e44b36cc79801a77eef21a3520afae
a6ecc09a58e57c0b7b49d88ea96a80c3b41dec8abff9b44c46157f9015946a11
a8756e7b743bb67cb5d7e9de0996f05ffa00af20ec0ff5ea8a332a6b10a7a824
b22cfb0a6ef927f174d12cf719bc7d5c7341239088fc9df3643d6144fe7a2426
b3f6a2006f2b59c9cb56a2c3ce04a07f11dc6cc2ceb0fb8e1b3730c0d6f7921f
b683dbaf40e2beaad45a3128c15eacdf4a34179b43c35aab67e69b1c044cbaf1
ba09fd2e0c4abfe5501e38b1c1a5d253c8a07d3e2e16b361f330b074de604370
bf820bcfb66765cebc8af802b23675880be83586295bef0a1c825539f2530104
c0f684ea50773b3e7d4bb254fdef2ea4a80697ce8f804cf7685b5b0a8c65b109
c87aa55e8c12506ba1b078636b693e922796a94f6b193fa584a278f83507db1d
d010c5ef372bd5241e922fe50a078c708133f5455364cb2a29284e383264c9cf
d0f116369cb1767f2e97616d4a384f10b0c250805cd2d7659f176a3745059141
d67a54186fd5d15038a92c59dfc63c896fd7e648f2a38806564aa032f6a56807
d6e90a501b1d7d50197d9fa4c3d40efc7356f13dd50b8629fd3946d3cad7d463
deaa2410534b0abf5cc90cc9e5b7a833b2f9f9e66516f0529bb341f1d106cab2
df1784cbc75f01856e211bb98e10e78a1ae7d738f6743163ef4aa381dfa3aeee
e60022c61336a971c04f0cb93e3de3d53a38cb5ba3fbf77a0c5d4a8669d1c1b3
ed5c5604d6b9c9bcf3b1b67d4e60aa8f836a76cac5d0f4f2c2c4268cb1eb9496
f2e48240bda6b0035cde11392df421f566616f1016b0d191bf38b3e15843643a
f68896f90a17c29caf126b9fc3acc121fa79f50666240075385f579f1ae3571f
f7e02ebf7350bc54fefe8a46e410648e96df1da4b01123a4eb38fbbde824cd59
f8be6d4a967aaa89fd2dccabcb9146cb7c75906ed37f918bf75745d9804e010d
fbbff807409eb0402db04d8f9f4eaf6b7d2e6439f82580c8c0bef703b676cd8d

YARA

rule re4r_win_MaskGramStealer_v2

{

meta:

author = "Solar 4RAYS"

description = "MaskGram Stealer (static) - old and new variants"

strings:

$user = /user_[0-9]{13}[0-9a-zA-Z]{0,16}\x00/ ascii

// new variant

$new_combo = "%DESKTOP%|%DOWNLOADS%|%DOCUMENTS%" ascii

$new_d1 = "%s\\Desktop" ascii

$new_d2 = "%s\\Documents" ascii

$new_d3 = "%s\\Downloads" ascii

// old variant

$old_pipe = "\\\\.\\pipe\\%08X%016llX%02X%08X" ascii

condition:

uint16(0) == 0x5A4D and $user and (

$new_crypto and $new_combo and 2 of ($new_d*) or

$old_pipe

)

}