Раскрыта многоуровневая операция вредоносного загрузчика TinyLoader, крадущего криптовалюту

Расследование началось с анализа активности IP-адреса 176.46.152[.]47. То, что изначально казалось единичным подозрительным хостом, оказалось частью масштабной инфраструктуры TinyLoader, распределенной по нескольким странам. В ходе исследования был отслежен путь от первоначального индикатора до панелей управления, полезных нагрузок и операционной инфраструктуры, что позволило собрать информацию для обнаружения и блокировки этой угрозы.

Анализ показал, что TinyLoader устанавливает как Redline Stealer, так и специализированные криптовалютные стилеры для сбора учетных данных и перехвата транзакций. Распространение происходит через USB-накопители, сетевые ресурсы и поддельные ярлыки, которые обманом побуждают пользователей запускать вредоносный код. Для обеспечения устойчивости malware создает скрытые копии файлов и изменяет параметры реестра. Особенностью является мониторинг буфера обмена с мгновенной заменой копируемых адресов криптокошельков. Командные панели управления размещены в Латвии, Великобритании и Нидерландах, при этом та же инфраструктура используется для доставки нагрузок DCRat, обеспечивающих удаленный доступ к зараженным системам.

Установлено, что IP 176.46.152.47 принадлежит компании FEMO IT SOLUTIONS LIMITED, зарегистрированной в Риге, Латвия. Сканирование выявило открытые порты и HTTP-сервисы на стандартном порте 80, а также на нестандартных портах 1911 и 1912, при этом на порту 1911 была явно указана служба, связанная с Redline Stealer. Дальнейший анализ веб-контента через URLscan.io подтвердил наличие активной панели входа TinyLoader по пути /zyxic/login.php. Сервер работает на Apache/2.4.58 под Windows 64-bit с OpenSSL/3.1.3, что является стандартной, но используемой в злонамеренных целях конфигурацией.

Изучение исходного кода страницы выявило характерный заголовок "Login - TinyLoader", который был использован в качестве сигнатуры для поиска дополнительной инфраструктуры через базы данных веб-краулеров. Это позволило обнаружить связанную панель по адресу 176.46.152[.]46. Анализ файлов, ссылающихся на подозрительные IP-адреса в VirusTotal, выявил дополнительные полезные нагрузки, что подтвердило связь между серверами и поведением вредоносного ПО.

Функциональный анализ TinyLoader показал, что после выполнения он обращается к шести предопределенным URL-адресам, контролируемым злоумышленниками, для загрузки дополнительных нагрузок, таких как bot.exe и zx.exe, которые сохраняются во временной директории системы и немедленно запускаются. Это преобразует зараженную систему в многофункциональную платформу для выполнения различных вредоносных инструментов параллельно.

Инфраструктура управления организована через два IP-адреса, функционирующих как административные панели, и один сервер, предназначенный для загрузки RedLine Stealer. Операторы используют распределенную сеть с узлами в Риге (Латвия), Лондоне (Великобритания) и Керкраде (Нидерланды), при этом все адреса размещены у одного провайдера - Virtualine Technologies. Инструмент AttackCapture зафиксировал активные образцы вредоносного ПО DCRat с одного из идентифицированных IP-адресов (107.150.0[.]155), что доказывает активное распространение вредоносных нагрузок.

Для обеспечения устойчивости TinyLoader копирует себя в несколько каталогов под именем "Update.exe" на рабочем столе и в документах, помечая файлы как скрытые. При подключении USB-накопителей malware копирует себя на устройства с привлекательными именами, такими как "Photo.jpg.exe", и создает autorun-файлы для автоматического запуска на других компьютерах. Также происходит сканирование локальной сети с копированием в общие папки. При наличии прав администратора вредоносная программа изменяет реестр, чтобы перехватывать обработку текстовых файлов, обеспечивая выполнение кода при каждом открытии .txt-файла.

Социальная инженерия реализована через создание обманчивого ярлыка "Documents Backup.lnk" на рабочем столе. Фоновый процесс непрерывно мониторит буфер обмена, проверяя наличие адресов Bitcoin, Ethereum, Litecoin и TRON, и мгновенно заменяет их на адреса злоумышленников, используя API Windows для незаметного и безопасного перехвата.

Обнаруженная инфраструктура представляет собой скоординированную операцию, сочетающую устойчивость, боковое перемещение и кражу криптовалюты. Для противодействия организациям рекомендуется мониторить сетевой трафик на наличие сигнатуры "Login - TinyLoader", блокировать известные вредоносные IP-адреса, ограничивать использование USB-устройств, внедрять политики сканирования и отслеживать подозрительную активность, такую как изменение ассоциаций файлов и создание исполняемых файлов в пользовательских каталогах. Пользователям следует проверять адреса кошельков перед транзакциями, проявлять осторожность с ярлыками на рабочем столе и сканировать USB-накопители. Использование антивирусного ПО с мониторингом буфера обмена и регулярная проверка на скрытые файлы обеспечивают дополнительную защиту.

IPv4

• 107.150.0.155
• 176.46.152.46
• 176.46.152.47
• 77.90.153.62