Обнаружен новый стилер Lucid: вредоносная программа маскируется под приложение Node.js и может превратить компьютер жертвы в инструмент для скрытого управления

information security

Группа исследования угроз компании Foresiet обнаружила и проанализировала новую версию стилера Lucid, которая активно распространяется через подпольные каналы в Telegram. Речь идет не просто об очередном сборщике паролей. Этот образец представляет собой гибридную угрозу, объединяющую в себе функции кражи данных, удаленного доступа и даже организации DDoS-атак (распределенных атак на отказ в обслуживании). Главная особенность - вредоносная нагрузка упакована внутрь легитимной исполняемой среды Node.js, что делает её почти невидимой для стандартных сигнатурных методов обнаружения.

Описание

Техническая находка исследователей заслуживает особого внимания. Внешне исполняемый файл размером около 100 мегабайт выглядит как обычное приложение Node.js. Однако внутри него спрятан специальный блок NODE_SEA_BLOB - это примерно 8,5 мегабайт зашифрованного JavaScript-кода. Именно в нем и содержится вся вредоносная логика. Согласно отчёту Foresiet, внутри этого блока были найдены все ключевые компоненты атаки: вспомогательные утилиты, динамические библиотеки для обхода контроля учётных записей, модули для скрытого удаленного доступа и, наконец, сам расшифрованный основной модуль для кражи данных.

Возможности этого образца впечатляют своим разнообразием. В ходе статического анализа инженеры подтвердили, что Lucid способен извлекать сохраненные пароли и файлы cookie из 18 различных веб-обозревателей. Кроме того, он нацелен на 14 криптовалютных кошельков, включая как отдельные приложения на рабочем столе, так и расширения для браузеров. Вредоносная программа умеет перехватывать нажатия клавиш (кейлоггинг), делать снимки экрана, воровать токены Discord и внедряться в клиент этого мессенджера. Но, пожалуй, самым опасным компонентом является модуль HVNC (скрытое управление рабочим столом). Он позволяет злоумышленнику в реальном времени видеть экран жертвы, открывать браузер и совершать любые действия от имени пользователя, оставаясь незамеченным.

Опасность усугубляется тем, что Lucid распространяется как коммерческий продукт по модели "вредоносное ПО как услуга". У него есть собственный веб-портал для управления, система лицензионных ключей и активный канал в Telegram, где оператор общается с покупателями. В конце мая 2026 года на этом канале появилось сообщение о временной приостановке работы проекта, но почти сразу же - о перезапуске. Оператор даже заявил, что в будущем планирует переписать код с Node.js на Java для улучшения скрытности и производительности. Это означает, что сигнатуры для текущей сборки скоро устареют. Специалистам по защите нужно готовиться к появлению новых версий, которые будут отличаться на уровне кода, но сохранят прежнюю бизнес-модель и инфраструктуру.

Для центров мониторинга информационной безопасности это открытие - сигнал к смене тактики. Полагаться исключительно на хеши файлов больше нельзя, ведь оператор активно дорабатывает своё творение. Foresiet рекомендует обратить внимание на поведенческие индикаторы: появление в папке %TEMP% скрытых копий с именами вроде winupd_<случайное>.exe, создание записей автозапуска в реестре (HKCU\Run) с названием WindowsUpdate, а также падение на диск вспомогательных SQLite-библиотек и модулей .node в каталоге пользователя \AppData\Local. Ещё один верный признак заражения - попытки установить скрытое соединение через WebSocket на сервер управления с адресом 45[.]138[.]16[.]107.

Если вредоносная программа всё же была запущена на компьютере, последствия такого вторжения нужно рассматривать как полную компрометацию системы. Все браузерные сессии, токены доступа, ключи от криптовалютных кошельков и данные для входа в игровые аккаунты Roblox должны считаться скомпрометированными. Первоочередные меры - изолировать устройство от сети, удалить все найденные вредоносные файлы и записи в реестре, а затем в обязательном порядке сменить пароли и отозвать все активные сессии на всех критически важных сервисах.

По оценке Foresiet, угроза является высокой. Подтверждение получено путем статического анализа, который позволил восстановить полную цепочку заражения, конфигурационные данные и список команд для оператора. Lucid Stealer - это не просто стилер, а полноценный инструмент для пост-взломного доступа, который может нанести серьёзный ущерб как обычным пользователям, так и бизнесу.

Индикаторы компрометации

IPv4 Port Combinations

  • 45.138.16.107:3001

SHA256

  • 101351cff5f971cd39bd6280be02a5e0e8f08d9874cae78b971e3a421a7050f6

Комментарии: 0