В мире информационной безопасности обнаружен новый опасный инструмент под названием Octalyn Stealer, который маскируется под исследовательский проект для тестирования на проникновение и цифровой криминалистики. Однако, как выяснили эксперты, его реальное предназначение - кража конфиденциальных данных, включая пароли, куки, конфигурации VPN и данные криптокошельков.
Описание
Разработанный на C++ и Delphi, Octalyn Forensic Toolkit размещен в открытом доступе на GitHub, что делает его легкодоступным для злоумышленников. Инструмент включает модуль полезной нагрузки на C++ и графический интерфейс (GUI) для генерации вредоносных бинарных файлов. Для их создания злоумышленнику достаточно ввести токен Telegram-бота и идентификатор чата, после чего программа начнет автоматически собирать данные и передавать их в реальном времени.
Механизм работы и собираемые данные
Анализ кода показал, что Octalyn Stealer нацелен на извлечение критически важной информации из популярных браузеров, таких как Google Chrome, Microsoft Edge и Opera. Среди похищаемых данных - сохраненные пароли, куки-файлы, история посещений, автозаполнение форм и даже токены аутентификации из мессенджеров Discord и Telegram.
Особую опасность представляет модуль, отвечающий за сбор конфигураций VPN-сервисов, что может привести к утечке корпоративных данных и компрометации защищенных сетей. Кроме того, инструмент ищет информацию о криптовалютах: адреса кошельков, приватные ключи, сид-фразы и файлы wallet.dat, связанные с Bitcoin, Ethereum, Litecoin и Monero.
Стелс-режим и устойчивость к обнаружению
Для обеспечения скрытности Octalyn Stealer использует несколько техник. Во-первых, он добавляет себя в автозагрузку через папку Windows Startup и вносит изменения в реестр (HKCU\Software\Microsoft\Windows\CurrentVersion\Run), что позволяет ему автоматически запускаться при каждой загрузке системы.
Во-вторых, аналитики обнаружили, что компонент Build.exe обладает высоким уровнем энтропии (выше 7), что свидетельствует о его обфускации - добавлении «мусорного» кода, затрудняющего обратную разработку. Также он выступает в роли дроппера, распространяя дополнительные исполняемые файлы (TelegramBuild.exe, rvn.exe и assembly.exe) во временную папку %TEMP% с использованием API-функций GetTempPathA и ShellExecuteA.
Структурированная кража и передача данных
После сбора информации Octalyn Stealer организует ее в четкую иерархию папок внутри %TEMP%\0ctalyn. Среди подкаталогов - Crypto, VPN, Browsers, Discord, Games и Socials. В них сохраняются файлы вроде All_browsers_cookies.txt, autofill.txt, bookmarks.txt и passwords.txt, упрощающие злоумышленнику доступ к украденным данным.
Далее PowerShell-скрипт упаковывает все в ZIP-архив с именем в формате OctalynRetrieved_[имя_пользователя].zip и отправляет его через зашифрованное соединение (TLS) на сервер api.telegram.org. Как отмечают специалисты Cyfirma, такой способ передачи затрудняет обнаружение трафика системами сетевого мониторинга.
Риски вторичной полезной нагрузки
Особую тревогу вызывает обнаруженный в коде скрипт, который пытается загрузить и выполнить дополнительный вредоносный модуль winlogon.exe с GitHub. Несмотря на то, что во время анализа файл отсутствовал, сам факт такой возможности свидетельствует о потенциальной эскалации угрозы в будущем.
Выводы и рекомендации по защите
Octalyn Stealer представляет серьезную угрозу как для обычных пользователей, так и для корпоративных сетей. Его модульная структура, использование Telegram для управления и способность красть финансовые данные делают его привлекательным для киберпреступников.
Командам безопасности рекомендуется отслеживать подозрительную активность в %TEMP%, изменения в реестре и необычные соединения с api.telegram.org. Кроме того, важно регулярно обновлять антивирусное ПО и обучать сотрудников основам кибергигиены, чтобы минимизировать риски заражения.
Хотя разработчик позиционирует Octalyn Forensic Toolkit как инструмент для исследований, его функциональность явно указывает на злонамеренные цели. Последнее обновление репозитория три месяца назад и обнаруженные в метаданных следы автора лишь подтверждают, что этот стеллер создан для реальных атак, а не для учебных целей.
Индикаторы компрометации
SHA256
- 3b3a096a9c507529919f92154f682490fa8e135f3460549a917cf23113a7b828
- 44778cf0de10af616ef2d8a5cc5048f7cf0faa204563eab590a1a9ea4a168ef7
- 8af7fc21bc9c13d877f598886f363a4c7c1105bcda18e17db74d7e1584a9cae2
- 8bb868a4bd9ed5e540c3d6717b0baa1cd831fc520ee02889bc55e2aac66d9d34
- 8bd9925f7b7663ca2fcb305870248bd5de0c684342c364c24ef24bffbcdecd8b
- abe96669d90f52529b5dad847f43961a4b8b56c3893f6233a404b688c5a6069e
- cea94fd48ef98f6e9db120cdb33fa1099846ebcf9e6d6f8de3b53250d2087f0a
