Исследователи компании CYFIRMA обнаружили новую вредоносную программу для кражи данных, получившую название LTX Stealer. Угроза выделяется сложной многослойной обфускацией и использованием легитимных инструментов разработки, что значительно затрудняет её анализ и обнаружение. Вредонос распространяется под видом обычного установщика, а для своей работы внедряет в систему полноценную среду выполнения Node.js.
Описание
Атака начинается с файла "Negro.exe", который представляет собой скомпилированный установщик Inno Setup. Использование этого популярного и доверенного фреймворка позволяет злоумышленникам маскировать вредоносную активность под обычный процесс установки программного обеспечения. Внутри установщика находится большой зашифрованный архив объемом 375 МБ, содержащий почти 6 тысяч файлов. Степень шифрования составляет около 99.9%, что является явным признаком преднамеренного усложнения статического анализа.
После запуска установщик запрашивает права администратора. После их получения основной вредоносный модуль сохраняется в системную директорию, замаскированную под компонент Microsoft: "C:\Program Files (x86)\Microsoft Updater". Папке присваиваются атрибуты "скрытый" и "системный", что делает её невидимой для большинства пользователей. Основная нагрузка (пейлоад) сохраняется в файле "updater.exe".
Ключевой особенностью LTX Stealer является его реализация. Файл "updater.exe" представляет собой автономный исполняемый файл Node.js, созданный с помощью утилиты "pkg". Таким образом, вредоносная логика написана на JavaScript. Для защиты кода от анализа злоумышленники применили компиляцию в байткод с помощью инструмента "Bytenode". Это преобразует читаемый исходный код в машинно-ориентированные инструкции (.jsc файлы), делая почти невозможным его прямое восстановление и изучение.
Основная функция стиллера - хищение учётных данных. Вредонос нацелен на браузеры на основе Chromium, такие как Google Chrome и Microsoft Edge. Для этого используется скрипт "decrypt.py", который внедряется вместе с основной нагрузкой. Скрипт применяет сложный механизм для получения прав доступа уровня SYSTEM путем олицетворения процесса "lsass.exe". Это необходимо для расшифровки ключей, защищенных системой DPAPI (Data Protection API) Windows.
Получив мастер-ключ браузера, вредонос расшифровывает и извлекает сохраненные логины, пароли, куки-файлы и данные активных сессий. Помимо этого, LTX Stealer проводит поиск файлов криптовалютных кошельков и данных соответствующих браузерных расширений, собирая всю возможную финансовую информацию.
Собранные данные упаковываются в архив и готовятся к отправке. Сетевая активность показала, что вредонос сначала определяет геолокацию жертвы через сервис "ip-api.com". Затем он соединяется с доменом "api.eqp.lol", который находится за защитой Cloudflare. Это стандартный прием для сокрытия реального расположения инфраструктуры управления.
Исследование панели управления злоумышленников выявило использование ещё одного легитимного облачного сервиса - Supabase. Эта платформа выполняет роль бэкенда для аутентификации и управления доступом к веб-интерфейсу оператора. В коде панели был обнаружен жестко заданный JWT-токен с анонимной ролью ("anon"), выданный для конкретного проекта Supabase. Срок действия токена установлен до 2035 года, что указывает на долгосрочные планы по эксплуатации вредоноса.
Анализ внешней угрозы показал, что LTX Stealer активно продвигается по модели "стиллер-как-услуга" (stealer-as-a-service). Разработчик рекламирует его в канале под названием "LTX Public", предлагая недельный доступ за 10 долларов и месячный - за 25. Это подтверждает, что угроза создана для широкого распространения среди киберпреступников, а не для целевых атак. Первые образцы были загружены в открытые источники в январе 2026 года, причем разработчик хвастался нулевым уровнем детектирования антивирусами на момент публикации.
Использование доверенных установщиков, сложная обфускация JavaScript, внедрение сред выполнения и легитимных облачных сервисов для управления - эти техники демонстрируют продолжающуюся эволюцию вредоносного ПО для кражи данных. Подобные угрозы эффективно обходят традиционные средства защиты, полагающиеся на сигнатуры, и требуют комплексного подхода к безопасности, включающего анализ поведения и мониторинг сетевой активности.
Индикаторы компрометации
IPv4
- 69.164.242.27
- 172.67.153.236
- 104.21.12.237
Domains
- eqp.lol
SHA256
- 112d731bbfd7379cdf3263cbba39a170c235d616c26b803f3afe6b014f4748a1
- ca9798f6bb9ad81dc20f8dee10c19368a44f3e48d71fa823b9c6f3b6473ca518
YARA
| 1 2 3 4 5 6 7 8 9 10 11 12 13 | rule LTX_Stealer_IOC { meta: description = "IOC-based detection for LTX Stealer panel infrastructure" hash_updater_exe = "ca9798f6bb9ad81dc20f8dee10c19368a44f3e48d71fa823b9c6f3b6473ca518" hash_negro_exe = "112d731bbfd7379cdf3263cbba39a170c235d616c26b803f3afe6b014f4748a1" author = "Cyfirma Research" strings: $domain1 = "eqp.lol" ascii nocase $ip1 = "69.164.242.27" ascii condition: any of ($domain*, $ip1) } |
