Новый троян атакует разработчиков C++ и C# через заражение файлов проектов

information security

Специалисты антивирусной лаборатории "Доктор Веб" зафиксировали распространение многофункционального трояна, нацеленного на цепочки поставок программного обеспечения. Вредоносная программа совмещает функции стилера, клиппера, бэкдора, майнера и механизма заражения файлов. Главная мишень - проекты, созданные на языках C++ и C#, а также среда разработки Microsoft Visual Studio. Первые случаи заражения отмечены в четвёртом квартале 2025 года, и с тех пор злоумышленники постоянно модифицируют код.

Описание

Троян распространяется в интернете через заражённые исполняемые файлы (.exe) и скрипты на Python. Процесс заражения состоит из трёх последовательных стадий, каждая из которых выполняет строго определённые задачи. На первой стадии вредоносный код внедряется в легитимные приложения. В изначальный исполняемый файл добавляется глобальный объект, а выполнение начинается с получения доступа к системным API через метод PEB walking. Затем стандартная функция initterm, предназначенная для инициализации указателей, запускает вредоносную подпрограмму, которая выполняет команду PowerShell. В некоторых версиях нагрузка хранится в зашифрованном виде. PowerShell скачивает и запускает файл второй стадии - Trojan.DownLoader49.35687.

Аналогичным образом работают заражённые Python-файлы (Python.Downloader.255). Вредоносный код шифруется симметричным алгоритмом Fernet и прячется за простой обфускацией - множеством пробелов в первой строке. Выполнение также проходит в несколько этапов.

На второй стадии троян проверяет, не запущен ли он в изолированной среде (песочнице), и создаёт объект синхронизации mutex с фиксированным именем Global\PFNMX. Это необходимо, чтобы избежать повторного заражения: если mutex уже существует, значит, другой экземпляр уже активен. Затем вредонос пытается получить адреса командных серверов (C2) через публичные репозитории GitHub и профили на игровой платформе Steam. Злоумышленники оставляют домены в открытом виде в аккаунтах Steam или в зашифрованном виде на GitHub. Троян считывает их, расшифровывает (Base64 и XOR с ключом ZwFlushKey) и использует как URL для загрузки третьей стадии - BackDoor.Siggen2.5906. Полученный адрес C2 также передаётся следующей стадии через именованный канал pipe\VccFramework.

Анализ предоставленных данных показывает, что после загрузки BackDoor.Siggen2.5906 встраивается в один из 41 заранее указанных системных процессов из папки C:\Windows\System32. На третьей стадии троян создаёт собственный mutex с именем Global\PFNX_Side, затем через ранее созданный канал получает от второй стадии идентификатор и адрес C2. Для закрепления в системе он скачивает файл "bungee.boo" (аналог второй стадии) и подменяет им библиотеки DLL: profapi.dll приложения Discord, domain_actions.dll и well_known_domains.dll в папках Microsoft Edge, а также системную omadmapi.dll. Кроме того, троян способен модифицировать реестр Windows так, что при открытии архивов программой WinRar.exe будет запускаться вредоносный код.

Для выполнения действий с правами администратора используется техника обхода UAC (контроля учётных записей). Вредонос генерирует VBS-файл со случайным именем, в котором прописывает команду для запуска от имени администратора, после чего через cmd.exe выполняет ряд операций с реестром и запускает ComputerDefaults.exe. Это позволяет обойти стандартные запросы на повышение привилегий.

После закрепления троян реализует пять основных вредоносных функций. Стилер крадёт токены Discord, пароли и куки из браузеров Chrome, Edge, Opera, Brave, Yandex и других, папки Telegram Desktop и криптокошелька Exodus. Для доступа к данным из браузеров он использует дополнительный модуль Trojan.PWS.Siggen5.33623, который встраивается в процесс браузера. Особо опасна модификация кошелька Exodus: троян находит файл app.asar и заменяет его на скачанную с сервера копию, содержащую функцию unlock(). Эта функция при каждом запуске отправляет мнемонические фразы кошелька на сервер злоумышленников.

Клиппер постоянно отслеживает содержимое буфера обмена. Если он обнаруживает данные банковских карт, они отправляются на C2. Адреса криптокошельков заменяются на подставные, полученные от сервера. Таким образом жертва, копируя адрес для перевода средств, отправляет деньги мошенникам.

Бэкдор предоставляет злоумышленникам полный удалённый доступ к заражённому ПК. Поддерживаются команды: скачать файл по URL и запустить его (exc), запустить Reverse Proxy (RVRS), выполнить произвольную команду через cmd (RUNCMD), загрузить содержимое указанного файла на C2 (GETFILE), отправить список файлов из директории (LISTDIR), а также запустить звуковые или визуальные "троллинг-эффекты" (TROLL) - например, громкий звук или видео.

Майнер активируется только после определённого периода бездействия пользователя. Троян скачивает с сервера упакованный файл Trojan.Packed2.50953, который внедряет майнер Trojan.BtcMine.3956. Этот модуль использует с открытым исходным кодом инструменты XMRig, T-Rex и TeamRedMiner для добычи криптовалюты в фоновом режиме.

Самая опасная особенность трояна - способность заражать файлы, используемые в процессе разработки программного обеспечения. Это обеспечивает дальнейшее самостоятельное распространение через цепочки поставок. Список заражаемых объектов включает: файл imgui_impl_win32.cpp (часть библиотеки Dear ImGui для C++), файлы .suo (настройки пользователя Visual Studio), .exe, winnetwk.h (Windows SDK), .vcxproj и .csproj (файлы проектов Visual Studio).

В файл imgui_impl_win32.cpp троян добавляет две строки: одна содержит полезную нагрузку, другая её запускает. В итоге команда PowerShell скачивает и выполняет следующую стадию. Библиотека оказывается заражённой, и любой проект на C++, использующий её, будет содержать вредоносный код. Файлы .suo заменяются на заражённые, полученные с C2. При открытии проекта в Visual Studio выполняется JavaScript-код, который через curl загружает и запускает вредонос. В winnetwk.h вставляется вредоносный код, что приводит к заражению всех приложений, скомпилированных с его использованием. Исполняемые файлы .exe модифицируются так, чтобы работать как первая стадия. В файлы .vcxproj и .csproj добавляется команда PreBuildEvent, запускаемая перед каждой сборкой проекта. В более новых версиях код дополнительно обфусцирован. В результате злоумышленники рассчитывают, что разработчики, публикующие свои проекты с вредоносным кодом в открытом доступе, заразят других разработчиков, которые будут собирать или модифицировать такие проекты. Обычные пользователи могут заразиться при запуске скомпрометированных приложений.

Предотвратить заражение можно регулярным обновлением антивирусных баз и проверкой всех файлов, полученных из интернета. Пользователи защитных решений Dr.Web могут быть уверены, что данный троян надёжно обнаруживается и удаляется. Файлы типов .vcxproj, .csproj и imgui поддаются лечению - вредоносный код из них удаляется.

Индикаторы компрометации

IPv4

  • 91.92.243.218

Domain

  • balista.lol
  • crazyclaras-blog.my
  • darkside.cy
  • devruntime.cy
  • exo-api.tf
  • frozi.cc
  • i-like.boats
  • i-slept-with-ur.mom
  • louisvuiton.mom
  • marsalek.cy
  • nuzzyservices.com
  • pee-files.nl
  • pubshierstext.top
  • risesmp.net
  • rshosting.xyz
  • test.recklessroleplay.com
  • vcc-library.online
  • vcc-library.uk
  • vcc-libraryguide.help
  • vcc-redistributable.help
  • vxamrwou.x10.mx
  • zetolacs-cloud.top

URL

  • balista.lol/Stb/PokerFace/RTApp.txt
  • files.catbox.moe/lvh9j3.bin
  • https://exo-api.tf/Stb/Retev.php?bl=1BRn03AWabt6xvxWdzDSW01.txt
  • https://files.catbox.moe/lvh9j3.bin
  • https://pee-files.nl/Stb/Retev.php?bl=1BRn03AWabt6xvxWdzDSW01.txt
  • raw.githubusercontent.com/XxXloverXxX/rustflare/refs/heads/main/crates/engine
  • steamcommunity.com/profiles/76561198737324192
  • steamcommunity.com/profiles/76561198764661885/ajaxaliases
  • www.youtube.com/watch?v=Y0KgkK3Y6HQ
  • youtu.be/akoxddx6lgc

SHA1

  • 2d7ecf5bbe776d1d45f4a6e593c75c8ad55bb7ee
  • 3a0d9a63f6f5409d65f7af357d3d6881aec1874a
  • 4340beb5b7a15e9d1d8b1548f98454de49f0f958
  • 652e295cabb1c66fb7d644b5548ac8f4a3f60b15
  • 6a19ed019429eb6149882ac03614d94ce7ca805e
  • 8030c42dc54975c43f7625d874e7890f025dc9f4
  • 810c671c9aa02490af1a40e7e0f3c84e793eea42
  • 820fb4e59534e8d0f46c0f5c8c24426c90dccb46
  • 9296217d1570e185043394e3e9b02564e22d7bce
  • 931d0b94aa49ac3ac40462bb205c9a903ae4250d
  • 9b88cd83d8b2b33365f3fcff836b2d2a65538f42
  • a3a1dac5c57d2c632c9f7546609493c1112b11b4
  • a843ad31c1a1da3f078d14e8680577f85f077f69
  • aa9b8a0ea0fa4fb9fb201d326d4ffc5f48a3b683
  • aae7560b7aad17aa111b51783ff6a4a649c09e04
  • b971341e9f0bb49b6c6041bc05c8a4e617d84ab2
  • bb64ea9dd561db41253814587f22985f51f9ad17
  • d08704d1835eb7cd54d59e2e9875fccadd70f9bf
  • d363965c8e7ddda69c9d0d618009b572756e9cee

Комментарии: 0