Новый Cmimai Stealer атакует через Discord

Механизм работы

Cmimai Stealer реализует многоступенчатый процесс атаки. После запуска скрипт обходит ограничения выполнения, создает дополнительные файлы PowerShell и начинает сбор системных данных. Все операции логируются в файле "vbs_reporter_log.txt" во временной директории системы. Основной цикл включает периодическое выполнение каждые 60 минут, обеспечивая постоянный мониторинг жертвы.

Сбор информации реализован через несколько модулей:

• Системные данные: Используя Windows Management Instrumentation (WMI), скрипт запрашивает класс Win32_OperatingSystem для получения версии ОС, имени пользователя и имени компьютера. Эти данные дополняются временными метками.
• Метаданные браузеров: Создается временный PowerShell-скрипт "vbs_ps_browser.ps1", который анализирует профили Chrome и Edge. Целью являются имена профилей и электронные адреса из файла Local State, содержащего зашифрованные ключи (encrypted_key и app_bound_encrypted_key). Хотя сам стилер не расшифровывает данные, полученные ключи позволяют злоумышленникам впоследствии декодировать пароли и cookies.
• Скриншоты: Модуль генерирует скрипт "vbs_ps_diag.ps1", использующий .NET-библиотеки System.Drawing и System.Windows.Forms для захвата экрана. Изображение конвертируется в JPEG с 70% качеством и проверяется на соответствие лимиту Discord в 8 МБ перед отправкой.

Эксфильтрация данных осуществляется через HTTP-запросы с использованием WinHttpRequest.5.1 или MSXML2.XMLHTTP в случае сбоев. Информация упаковывается в JSON-объекты и отправляется на заранее настроенные вебхуки Discord. Как показано в исследовании, украденные данные и скриншоты успешно отображаются в каналах злоумышленников.

Техники уклонения и персистентности

Для обеспечения скрытности PowerShell-скрипты запускаются с параметрами "-NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden", блокирующими вывод окон и обходящими политики выполнения. Персистентность достигается через бесконечный цикл с часовым интервалом, что позволяет регулярно обновлять скриншоты без действий пользователя. Отсутствие механизмов выживания при перезагрузке - сознательное упрощение архитектуры.

Тактическая оценка

Cmimai Stealer классифицируется как легковесный инфостилер без продвинутых функций шифрования или кражи учетных данных. Однако его способность собирать метаданные браузеров, системную информацию и скриншоты делает его двойным инструментом: как для непосредственной кражи данных, так и для рекогносцировки перед целевыми атаками. Отсутствие атрибуции к известным группам указывает на возможное происхождение от новых или малоизученных акторов.

Эксперты подчеркивают, что использование легитимных инструментов Windows (VBS, PowerShell, WMI) осложняет детектирование. Защита требует комплексного подхода: от контроля родительско-дочерних процессов до анализа сетевого трафика на уровне L7.

MD5

• 85d55caca5b341696382680eb3550918
• ea792d0458d40471cefa26ebccf4ed45