В начале 2026 года на теневых форумах киберпреступников появился новый стилер (вредоносная программа для кражи данных) под названием OnyxC2. Разработчик продаёт его как полностью готовый коммерческий продукт с веб-панелью, конструктором полезной нагрузки, несколькими ценовыми уровнями и даже возвратом денег, если собранный экземпляр будет обнаружен антивирусами. За 250 долларов в месяц оператор получает набор, способный извлекать учётные данные из браузеров, менеджеров паролей, модулей двухфакторной аутентификации и криптокошелёков примерно из 210 приложений и расширений, после чего отправлять похищенное по зашифрованному каналу на сервер управления.
Описание
Стилер написан на C++ с вставками на ассемблере для прямых системных вызовов, причём каждый собранный экземпляр модифицируется, чтобы ломать сигнатурные правила обнаружения. Разработчик заявляет о 99-процентной вероятности обхода антивирусов. В отчёте аналитиков BlackFog приводятся результаты проверки: два полученных архива с вредоносом при первой загрузке на VirusTotal не были опознаны ни одним движком, а вредоносный компонент внутри оставался незамеченным даже спустя несколько недель. Это говорит о высоком уровне маскировки, который достигается за счёт комбинации методов.
OnyxC2 представляет собой не просто стилер, а полноценную платформу для удалённого доступа. В веб-панели, которую продаёт автор, есть страницы со списком заражённых ботов, просмотром похищенных логов, конструктором сборок, управлением пользователями с разными ролями и настройками облачного хранилища. Кроме базовой функции кражи данных, в панели обнаружены модули, не упомянутые в рекламном тексте: встроенный тоннель TOR и шифрование скачиваемых сборок алгоритмом AES-256. Ценовые уровни различаются тем, что более дорогие открывают доступ к удалённым функциям: скрытому удалённому рабочему столу (HVNC), дампу процесса LSASS (извлечению хешей паролей из памяти Windows), запуску кода в памяти и на диске (RunPE), обратному прокси-серверу SOCKS5, захвату экрана, кейлоггеру, файловому менеджеру и обратной оболочке по HTTP.
Список целей для кражи впечатляет: 37 браузеров на движке Chromium и 8 на Gecko, 95 расширений для Chromium и 14 для Gecko, включая шесть специализированных расширений для двухфакторной аутентификации. Также стилер охватывает пять менеджеров паролей, 17 криптокошелёков, 11 FTP-клиентов, пять почтовых клиентов, а также приложения для VPN, удалённого доступа, мессенджеры, заметки и игры. Такая широкая направленность означает, что после заражения одного компьютера злоумышленник получает доступ ко всем учётным записям жертвы - даже тем, которые защищены сбросом пароля, ведь сессионные куки и токены двухфакторной аутентификации остаются в системе.
Метод доставки OnyxC2 оказался особенно изобретательным. Аналитики получили два образца, каждый из которых представлял собой защищённый паролем архив, замаскированный под обычное приложение: например, Fling-Standalone, FinePrint, SystemSettings или фальшивый пакет обновления Windows. Внутри архива находилась пара файлов, построенная на технике DLL-смещения (sideloading). Первый файл - легитимное подписанное приложение с валидным сертификатом Authenticode, которое на VirusTotal не имело ни одного обнаружения. Второй - вредоносная DLL с именем, соответствующим библиотеке, которую это подписанное приложение загружает при запуске. Когда жертва запускает установщик, доверенный исполняемый файл подгружает DLL злоумышленника из той же папки.
Сама DLL построена на обмане: внутри неё находится настоящая графическая библиотека NVIDIA, экспортирующая реальные функции работы с графикой, но её размер раздут до 133 мегабайт. За легитимным кодом скрывается зашифрованная полезная нагрузка, которая генерируется заново для каждой сборки. Многие антивирусные сканеры пропускают файлы такого объёма, что и объясняет нулевые обнаружения при первой загрузке. Статический анализ подтверждает структуру, но не может прочитать payload (вредоносную нагрузку), пока та не расшифрована во время выполнения.
Сравнение двух образцов DLL показало, что они почти идентичны: различаются лишь около 0,58 процента байт в середине файла, что соответствует области с зашифрованным или упакованным содержимым, меняющимся от сборки к сборке. Подписанный хост-исполнитель при этом полностью одинаков в обоих случаях. Это говорит о том, что злоумышленники нашли стабильную точку входа - приложение, которое всегда загружает DLL с определённым именем, и меняют только вредоносную часть.
Чтобы подтвердить работу стилера, исследователи запустили образцы в изолированной среде. Сетевой трафик показал, что заражённые хосты обращаются к серверу управления по адресу /backend/api/app.php - именно такой путь по умолчанию прописывает конструктор OnyxC2. Запросы следуют протоколу, соответствующему функциональности панели: регистрация хоста (action=sync), опрос о состоянии (action=poll), получение конфигурации (action=cfg) и выгрузка похищенных данных браузера (action=up_d). Каждый запрос содержит уникальный токен владельца и версию бота 2.0. Таким образом, рекламируемый продукт и реальные заражения оказались одной и той же системой.
Последствия заражения таким стилером выходят далеко за рамки банальной очистки от вредоноса. Похищенные сессионные куки позволяют оператору войти в аккаунты без ввода логина и пароля, файлы менеджеров паролей открывают доступ к множеству учётных записей, а данные двухфакторной аутентификации сводят на нет защиту второго фактора. Кроме того, кража FTP- и почтовых клиентов напрямую угрожает корпоративным системам малого бизнеса. Если к этому добавить скрытый удалённый рабочий стол HVNC, злоумышленник получает полный контроль над браузером жертвы - с уже открытыми сессиями в банках, облачных сервисах и бизнес-приложениях.
Эта атака показывает, как коммерциализация вредоносного ПО снижает порог входа для киберпреступников. Теперь любой желающий за несколько сотен долларов может купить "стилер как услугу" с профессиональной поддержкой и гарантией. Единственным способом защиты, который действует на последнем этапе, остаётся блокирование исходящего трафика с похищенными данными. Технология анти-экфильтрации, разработанная компанией BlackFog, как раз нацелена на этот рубеж: она перехватывает передачу информации за пределы системы независимо от того, какой доверенный процесс инициировал отправку. В мире, где стилеры становятся всё изощрённее, именно контроль над исходящими данными может оказаться последней линией обороны.
Индикаторы компрометации
IPv4
- 104.18.20.213
- 104.21.46.39
- 172.67.223.39
Domains
- akmuniverstall.top
SHA256
- 41999a3d0da035ff8068905c90235ea50121329cb0661e38d745974ebf5e3ae2
- 78945c844fc23dd3446cf17987edeeb6cc21986820c92df82a126af24a5a38d1
- d89bb4b23a67814ef511e4e9dda7ad36fa519a322fa7c25ea451c7dd7ef61e54
- f6e4b09ef788adef3f65fd2b99da8f5be5391be29471676dc07040a56c8fdfab