Новый вредоносный сборщик данных MicroStealer использует многослойный запуск для уклонения от обнаружения

Команды информационной безопасности полагаются на ранние сигналы для выявления новых угроз. Однако что происходит, когда мощный сборщик конфиденциальной информации распространяется, в то время как традиционные системы обнаружения его почти не видят? Эксперты компании ANY.RUN зафиксировали активность нового вредоносного ПО под названием MicroStealer, который за менее чем месяц был замечен в более чем 40 сессиях анализа в песочнице, несмотря на низкую публичную известность. Основная опасность этой угрозы заключается в её нацеленности на корпоративные учётные данные, активные сессии и другие чувствительные данные, что создаёт риск для бизнеса, поскольку компрометация идентификаторов и кража информации могут происходить незаметно для служб безопасности.

Описание

Ранние данные указывают на распространение MicroStealer через скомпрометированные или поддельные учётные записи, что повышает доверие жертв к источнику заражения. Среди наиболее пострадавших секторов - образование и телекоммуникации. Сам вредоносный модуль представляет собой не просто очередной сборщик паролей. Он целенаправленно ворует учётные данные браузеров, данные сессий (куки), делает скриншоты рабочего стола и похищает файлы криптовалютных кошельков. Особенностью MicroStealer является сложная цепочка доставки NSIS → Electron → Java, которая затрудняет своевременное и уверенное обнаружение.

Ключевой бизнес-риск, который несёт MicroStealer, связан с хищением корпоративных идентификаторов. Похищение учётных данных браузера и токенов сессий ставит под угрозу доступ к SaaS-сервисам, внутренним порталам, VPN и панелям управления облачными средами. Получив начальный доступ к одной рабочей станции, злоумышленники могут использовать украденные аутентификационные данные для расширения привилегий и перемещения внутри корпоративной сети. Более того, используя легитимные сессии пользователей, атака может долгое время оставаться незамеченной, маскируясь под обычную активность. При этом кража данных начинается немедленно после заражения, а сбор информации об аккаунтах жертв в Discord и Steam помогает злоумышленникам оценивать ценность цели.

Специалисты ANY.RUN отметили первую активность MicroStealer 14 декабря. Наиболее высокая концентрация обнаружений пришлась на период с 7 по 11 января, когда было зафиксировано 20 сессий с этим вредоносным ПО, что указывает на активную фазу распространения. При этом, несмотря на растущую активность, многие антивирусные движки по-прежнему не детектируют файлы MicroStealer как вредоносные, что оставляет организации без защиты на основе сигнатур.

Цепочка заражения начинается с посещения жертвой злоумышленником контролируемого ресурса. После нажатия на кнопку загрузки выполняется JavaScript-файл, который загружает вредоносный исполняемый файл, например, с Dropbox, и отправляет базовую информацию о системе (IP-адрес, регион, версию ОС) на сервер Discord. Если запустить загруженный файл, активируется сложный процесс. Первый этап - исполняемый файл RocobeSetup.exe, который является установщиком NSIS. Внутри этого архива находится следующий компонент - Game Launcher.exe, представляющий собой приложение на базе фреймворка Electron. Его задача - запросить права администратора через UAC и затем извлечь, а также запустить основной вредоносный модуль, упакованный в JAR-файл. Для его выполнения вредоносная программа распаковывает встроенную среду выполнения Java (JRE), маскируя исполняемый файл под miicrosoft.exe. После запуска JAR-файла в фоновом режиме основной процесс Node.js завершается.

Такой многослойный подход, сочетающий NSIS-установщик и Electron, значительно усложняет статический анализ. Electron может напрямую исполнять JavaScript-код из ASAR-архива без его распаковки на диск, что позволяет обходить некоторые сигнатурные методы детектирования. При этом NSIS-установщик удерживает вредоносные файлы в недоступном для анализа виде до момента своего завершения. Код как Node.js, так и Java-компонентов подвергнут серьёзному обфускации. В Node.js-части все строки сжаты в одну последовательность символов Unicode с использованием библиотеки LZ-String и восстанавливаются только во время выполнения. Java-модуль защищён обфускатором Zelix KlassMaster (ZKM).

Функциональность MicroStealer после деобфускации становится очевидной. Вредоносное ПО обеспечивает своё закрепление в системе через планировщик заданий Windows, создавая задачу с триггером ONLOGON для автоматического запуска при каждом входе пользователя в систему. Оно также проверяет окружение на наличие процессов, связанных с виртуальными машинами (VMware, VirtualBox, QEMU и др.), и завершает работу при их обнаружении. Основная цель - кража данных из широкого спектра браузеров на базе Chromium, а также Opera и Opera GX. Программа обращается к профилям пользователей и расшифровывает защищённые данные, такие как пароли и куки, с помощью Windows DPAPI. При отключённой защитии LSA (RunAsPPL) MicroStealer пытается получить повышенные привилегии, взаимодействуя с процессом lsass.exe. Дополнительно модуль делает скриншот экрана, ворует данные из расширений браузерных криптокошельков (MetaMask, Phantom и др.) и файлы настольных кошельков (Exodus, Electrum). Отдельный модуль внедряет JavaScript-код в десктопное приложение Discord для перехвата токенов и мониторинга сетевой активности через Chrome DevTools Protocol, отслеживая события входа, изменения учётных данных и добавления платёжных методов.

Для эффективного противодействия подобным угрозам, которые изначально слабо детектируются, критически важным становится поведенческий анализ. Мониторинг появления новой подозрительной инфраструктуры, особенно связанной с сервисами вроде Discord, может дать ранние сигналы. Быстрое подтверждение вредоносного поведения в изолированной песочнице позволяет перейти от догадок к конкретным индикаторам компрометации, наблюдая полную цепочку исполнения. После идентификации угрозы необходимо расширять поиск по связанным индикаторам в корпоративной среде. Таким образом, даже сложные и скрытные угрозы, подобные MicroStealer, могут быть своевременно выявлены и нейтрализованы за счёт смещения акцента с пассивного ожидания сигнатур на активный поведенческий анализ и оперативное расследование.