Главная страница » Индикаторы компрометации
0
2 месяца
Индикаторы компрометации

Обновленный .NET-лоадер со стеганографией скрывает многокомпонентные угрозы, включая Lokibot

information security

Исследователи информационной безопасности обнаружили новую версию вредоносного .NET-лоадера, использующего стеганографию для скрытой доставки нескольких типов опасного ПО, в том числе известного инфостилера Lokibot. Этот усовершенствованный механизм маскировки демонстрирует растущую изощренность киберпреступников в обходе систем защиты.

Описание

Группа Splunk Threat Research Team (STRT) в августе 2025 года проанализировала обновленную версию загрузчика, которая отличается от ранее изученных образцов дополнительным модулем, целенаправленно затрудняющим обнаружение и извлечение вредоносной полезной нагрузки. Важно отметить, что основным вектором атак становится социальная инженерия: злоумышленники маскируют файл под легитимный коммерческий документ, используя термины вроде «Request for Quotation (RFQ)», чтобы побудить пользователей открыть вложение.

Ключевым усовершенствованием новой версии является изменение метода скрытия вредоносных компонентов. Если предыдущий вариант помещал стеганографические изображения напрямую в ресурсы .NET-сборки, то сейчас они встроены в отдельный модуль-контейнер. Этот контейнер расшифровывается и загружается в память только во время выполнения, что значительно затрудняет для статических анализаторов и автоматических средств извлечения обнаружить угрозу до фактического запуска кода.

Для извлечения скрытых компонентов исследователи применили собственный инструмент PixDig, однако первоначальная попытка не увенчалась успехом из-за особенностей загрузки модуля. После доработки инструмента для прямого анализа изображений эксперты смогли извлечь два скрытых модуля-стегера из файлов .bmp и .png. Последующий анализ позволил дешифровать финальную полезную нагрузку - вредоносную программу Lokibot.

Lokibot, впервые обнаруженный в 2015 году, представляет собой инфостилер, который остается серьезной угрозой благодаря утечке исходного кода в 2018 году и низкой стоимости на теневых форумах. Основная цель этого вредоноса - кража учетных данных из браузеров, приложений, кошельков криптовалют, а также перехват нажатий клавиш. Кроме того, Lokibot может загружать дополнительные вредоносные модули и обеспечивать постоянное присутствие в системе.

Анализ тактик, техник и процедур (TTP) по фреймворку MITRE ATT&CK выявил широкий арсенал Lokibot. Среди них - обнаружение системной информации (T1082), кража учетных данных из хранилищ паролей (T1555), манипуляция токенами доступа для повышения привилегий (T1134), внедрение в процессы (T1055) и создание запланированных задач для обеспечения постоянства (T1053). Особый интерес представляет техника уклонения, основанная на времени (T1497.003): вредонос проверяет наличие параметра -u и при его обнаружении задерживает выполнение основного кода на 10 секунд.

Lokibot демонстрирует высокую целенаправленность при сборе данных. Он атакует широкий спектр приложений, включая браузеры (Mozilla Firefox, Opera), FTP-клиенты (FileZilla, WinSCP), почтовые программы (Mozilla Thunderbird, Outlook) и менеджеры паролей (KeePass, Roboform). Для доступа к зашифрованным данным браузеров вредонос загружает системные библиотеки, такие как sqlite3.dll и nss3.dll.

В ответ на эту угрозу исследователи Splunk разработали и внедрили 26 прави детектирования, охватывающих все выявленные техники MITRE ATT&CK. Например, одно из правил отслеживает создание запланированных задач через XML с помощью утилиты schtasks.exe, что является типичным методом обеспечения постоянства для Lokibot. Другое правило выявляет нехарактерные DNS-запросы от компилятора vbc.exe, который злоумышленники используют для маскировки процесса внедрения вредоносного кода.

Обнаружение этого обновленного стеганографического лоадера подчеркивает непрерывную эволюцию инструментов киберпреступников. Они активно усложняют механизмы скрытия и обфускации, чтобы противостоять как автоматическому анализу, так и работе исследователей безопасности. Специалисты рекомендуют организациям комбинировать поведенческий анализ и мониторинг подозрительной активности с регулярным обновлением сигнатур систем защиты для противодействия подобным многокомпонентным угрозам.

Индикаторы компрометации

SHA256

  • 6b8cd32010895abeebbe3f8acfc9718748dfaa7b6a6a5994178b5b1712121c02
  • afadf2ba580bb4b4ebf838defaa64f03da77b6a0418f9fab29fea55558ebfcf7
  • d8fcaf8be0aa2646663d12005285f5afc10a2ed324fc963b50adcd79802a716a
  • dce6b152b3a0a2aef99b6b837813d9bb8335d4de7555af0e175c84a137380dd5
Комментарии: 0
Похожие записи
0
08.07.2025
Индикаторы компрометации

XWorm RAT: Новые способы заражения и обхода защитных систем

security
XWorm, один из самых популярных и активно распространяемых троянов удаленного доступа (RAT), продолжает эволюционировать, представляя все большую угрозу для организаций по всему миру.
0
28.10.2025
Индикаторы компрометации

MSIX: новый вектор атаки в оболочке легитимного формата

information security
Современный формат, подписанный файл, чистая установка - так выглядит идеальная упаковка для Windows-приложений. Формат MSIX, созданный как будущее развертывания приложений в среде Windows, превратился в мощный инструмент киберпреступников.
0
04.07.2025
Индикаторы компрометации

Зловещий сценарий: как инсталляторы Inno Setup превращаются в оружие киберпреступников

Stealer
Программные установщики, созданные для упрощения распространения приложений, стали новым фронтом кибервойн. Исследователи Splunk Threat Research Team (STRT) раскрыли изощренную кампанию, где злоумышленники
0
22.05.2025
Индикаторы компрометации

China-Nexus активно эксплуатирует уязвимость Ivanti Endpoint Manager Mobile (CVE-2025-4428)

security
15 мая 2025 года компания Ivanti раскрыла две критические уязвимости — CVE-2025-4427 и CVE-2025-4428 — в системе управления мобильными устройствами Ivanti Endpoint Manager Mobile (EPMM) версии 12.