Новый вредонос Lucid Stealer маскируется под легитимный Node.js и угрожает криптокошелькам и удалённому доступу

Stealer

Исследователи из Foresiet Threat Intel обнаружили новую версию коммерческого похитителя данных Lucid Stealer, который распространяется через подпольные каналы в Telegram. Этот образец представляет собой не просто набор вредоносных программ, а полноценный гибрид: он крадёт учётные данные браузеров, криптовалютные кошельки, токены Discord и, что особенно опасно, предоставляет злоумышленнику полный удалённый контроль над заражённым компьютером, включая скрытое управление рабочим столом (HVNC). Инструмент упакован внутрь легитимного исполняемого файла Node.js, что делает его внешне похожим на крупное, безобидное приложение.

Описание

Сам факт появления такого гибридного вредоноса на рынке - тревожный сигнал для компаний и обычных пользователей, особенно тех, кто активно работает с криптовалютами. В отличие от простых похитителей паролей, Lucid Stealer не останавливается после сбора данных: он закрепляется в системе, пытается повысить привилегии и открывает канал для дальнейших атак.

Контекст угрозы: активная разработка и смена платформы

Операторы Lucid Stealer ведут публичную деятельность. Как сообщили в Foresiet, вредонос продаётся по модели "вредоносное ПО как услуга" (MaaS) через выделенный Telegram-канал и веб-панель управления. Исследователи начали слежку после того, как канал возобновил активность. Временная шкала показывает, что проект остаётся живым: 22 мая 2026 года оператор объявил о закрытии, сославшись на уход второго участника и временную паузу. Однако уже в конце мая прозвучал намёк на возврат с улучшенным продуктом, а 31 мая последовало объявление о перезапуске и полной перестройке сайта. Более того, оператор заявил о планах мигрировать с Node.js на Java для повышения скрытности и производительности, а также исключил бесплатные подписки, направив покупателей к личным контактам.

Для защитников это означает, что перед ними не разовый выброс, а поддерживаемый инструмент. Смена платформы на Java может изменить внутреннюю структуру будущих версий, но брендинг, коммерческая модель и инфраструктурные паттерны, скорее всего, сохранятся.

Технические детали: как устроен Lucid Stealer

Образец поставляется в виде защищённого паролем архива WinZip-AES. Внутри находится исполняемый файл размером около 100 мегабайт, который на первый взгляд является легитимным рантаймом Node.js. Однако аномальный размер выдачи - прямое указание на скрытую нагрузку. Внутри рантайма обнаружен ресурс NODE_SEA_BLOB - около 8,5 мегабайт JavaScript-кода, который выполняет роль загрузчика. Этот загрузчик извлекает из себя зашифрованный второй этап - основной модуль кражи и удалённого управления (RAT).

Расшифровка второго этапа происходит через комбинацию RC4-подобного алгоритма и XOR. После расшифровки получается модульный JavaScript-код, который выполняет логирование, сбор конфигурации, удалённый рабочий стол, работу с ZIP, кражу из Discord, криптокошельков, браузеров, кейлоггинг, клиппинг (подмена адресов кошельков), DDoS-команды и управление через командный центр (C2).

Загрузчик также содержит вспомогательные компоненты в виде закодированных бинарных массивов. После расшифровки они записываются на диск: SQLite-помощник для запросов к скопированным базам браузеров, нативный модуль для попыток повышения привилегий (UAC), модуль скрытого рабочего стола (HVNC), а также модули RobotJS (захват экрана и синтезированный ввод) и Canvas (рендеринг изображений для скриншотов и потоковой передачи).

Возможности: от кражи паролей до полного контроля

Анализ команд и функций, извлечённых из декодированной нагрузки, показал широкий спектр возможностей. Целевая поверхность включает 18 браузеров, 21 формат криптовалют для клиппера, семь десктопных кошельков, семь расширений-кошельков и четыре варианта клиента Discord. Помимо пассивного сбора, вредонос предоставляет оператору live-доступ: удалённая оболочка, управление файлами, команды DDoS, а также скрытое управление рабочим столом через HVNC. Это означает, что злоумышленник может не только украсть данные, но и просматривать экран жертвы, взаимодействовать с интерфейсами, например, для совершения транзакций в обход двухфакторной аутентификации.

Цепочка заражения и индикаторы компрометации

Процесс заражения многоступенчатый. После открытия исполняемого файла Node.js загрузчик создаёт скрытую копию себя в каталоге %TEMP% под именем winupd_<случайное>.exe. Затем он устанавливает автозапуск через реестр HKCU\Software\Microsoft\Windows\CurrentVersion\Run\WindowsUpdate. Далее сбрасывает вспомогательные модули в %LOCALAPPDATA%\Common\<id>\*.node и SQLite-помощник (_sq3e_<pid>.exe). Происходит попытка повышения привилегий через PowerShell Start-Process с Verb RunAs. После этого загрузчик дешифрует и выполняет основную нагрузку, начинается сбор данных, архивация в %TEMP%\Data_<hwid>.zip и отправка на командный сервер.

Среди жёстко закодированных индикаторов - IP-адрес командного сервера 45.138.16.107:3001 (AS210558). Загрузчик использует пути /upload, /internal/log, /dc-injector и /ws. В качестве доменов панелей указаны lucidstealer[.]one (разрешается в 85.239.155[.]68), iloveyoulucid[.]space, ghdfhfjhfg[.]webhop[.]me и другие, однако в сам образец они не вшиты и приведены для корреляции.

Рекомендации по защите

Наиболее надёжный способ обнаружения - поведенческий анализ. Обращайте внимание на неизвестные Node/SEA-исполняемые файлы, создающие .node-модули в профиле пользователя, появление winupd_*.exe с автозапуском, сброс SQLite-помощника, а также массовое чтение баз данных браузеров и файлов Discord после завершения их процессов. В сети сигналом служит соединение с 45.138.16.107:3001 или последовательность URI /internal/log, /upload, /ws. Поскольку оператор заявил о будущей смене платформы, полагаться только на хеши файлов нельзя - необходимо отслеживать поведенческие паттерны.

Lucid Stealer - яркий пример конвергенции похитителя данных и инструмента удалённого доступа. Его появление напоминает, что даже обычный архив с "обновлением" может скрывать многослойную угрозу, способную привести к полной компрометации системы. Компаниям, работающим с криптовалютами и использующим браузерные хранилища токенов, стоит пересмотреть политики безопасности конечных точек и внедрить поведенческий мониторинг. Для обычных пользователей главная защита - не запускать подозрительные исполняемые файлы, даже если они маскируются под известное приложение.

Индикаторы компрометации

IPv4

  • 85.239.155.68

IPv4 Port Combinations

  • 45.138.16.107:3001

Domains

  • 0kt.one
  • ghdfhfjhfg.webhop.me
  • iloveyoulucid.space
  • lucidstealer.one
  • storedonutsmp.net

Coin

  • BTC bc1qj0uraqhgquwcwdlhazy7ahzypz7r987z89dhwe
  • ETH 0x239df70C0d328dEb4187A8B50a70ead8cbb1f48D
  • LTC LYUQyhrqHS9VXzRkQWRHvVEtr5aCCSoVig

Комментарии: 0