Эксперты eSentire Threat Response Unit (TRU) обнаружили новую кампанию с использованием вредоносного ПО DeerStealer, также известного как XFiles Spyware. Этот сложный сборщик данных активно распространяется через фишинговые атаки с техникой ClickFix, когда жертвам предлагается выполнить вредоносную команду в окне "Выполнить" Windows. После этого загружается и запускается HijackLoader - загрузчик, использующий стеганографию для скрытия настроек в изображениях PNG.
Описание
DeerStealer способен красть криптовалютные кошельки, пароли, данные браузеров, перехватывать буфер обмена и даже удалённо управлять компьютером через скрытый VNC. Злоумышленники продают этот инструмент на теневых форумах по подписке - от $200 до $3000 в месяц, в зависимости от функционала.
Атака начинается с фишинговой страницы, где пользователя обманом заставляют запустить PowerShell-команду, загружающую вредоносный MSI-файл. Далее подменяются легитимные DLL-библиотеки, и через цепочку загрузчиков на компьютер попадает DeerStealer.
Вредонос использует сложные методы обфускации, включая виртуальные машины для расшифровки строк и динамическое разрешение API, что затрудняет его анализ. Он собирает данные из более чем 50 браузеров, мессенджеров, FTP и VPN-клиентов, а также подменяет криптовалютные адреса в буфере обмена.
Для защиты эксперты рекомендуют:
- Остерегаться подозрительных ссылок и не выполнять неизвестные команды.
- Использовать двухфакторную аутентификацию и менеджеры паролей.
- Регулярно обновлять ПО и антивирусные решения.
- Мониторить необычную активность в системе, особенно запуск браузеров с нестандартными параметрами.
DeerStealer продолжает развиваться - в будущих версиях ожидается поддержка macOS, интеграция с ИИ и автоматическая проверка балансов криптокошельков. Это делает его ещё более опасным инструментом в руках злоумышленников.
Индикаторы компрометации
Domains
- brokpolok.shop
- cdnnode-01.cfd
- cloused-flow.site
- debianlist.cfd
- d-nodes.shop
- ncloud-servers.shop
- quitarlosi.cfd
- sciecdn.cfd
- servicesmesh.pro
- soft-metal-software.cfd
- sonorous-horizon-cfd.cfd
- upcdnnodes.cfd
- uplink-mirrors.shop
URLs
- https://luckyseaworld.com/now.txt
- https://luckyseaworld.com/nownow.txt
- https://www.aggiornamentoaggiornamento.com/big.msi
SHA256
- 02d0f858069426ee5bbf04d5d85ff053d8f86867f4fbedb5ef70f78cb2acf086
- 163cfcb8a2c2e14cb77e0d735b87f56ae653d58ad5c69c536396f2936afd1c72
- 24475ae7781189075f64a2de1a7d1fd69b341b7adee67f0bd2286cfbf1f0b7f9
- 3a03afc1313854359603522e0792f6a8f9153519eac645cf5811824d936cfbc7
- 4eae5c64da09969299fd3c1fe05d91f67a425a1e1431b926fda289e4b94fd550
- 674476acafaa975bb80ee9ea7ae24e0bbedb1d1d5c3b3871f718b857b066579d
- 9163f9237ad869a74715f9b126f7c577bd1f12afb8eae37ba07c11f00a39fa3e
- e34d753f2b992cf74c1b9db61bad4d6c6089ab8ef9fb942c865290b2dd64b4ad
- eb17f8296482b0c096a2249844a62988b6abdd8ffe8cbbe3398f422968d46875
