В январе прошлого года эксперты Kaspersky Lab обнаружили новый загрузчик вредоносного ПО, получивший название «Penguish». Одной из его полезных нагрузок оказался ранее неизвестный похититель данных, который исследователи назвали «ScarletStealer». Однако, несмотря на сложный механизм распространения и использование цифровых подписей, сам вор данных оказался крайне несовершенным, содержащим множество ошибок и избыточного кода.
Описание
ScarletStealer привлекает внимание своей необычной архитектурой. В отличие от большинства аналогичных угроз, он не хранит весь свой функционал в одном исполняемом файле. Вместо этого значительная часть вредоносных действий реализуется через дополнительные двоичные файлы, которые загружаются уже после запуска основной программы. В частности, при старте ScarletStealer проверяет наличие на зараженном устройстве криптовалютных кошельков, сканируя определенные директории, такие как %APPDATA%\Roaming\Exodus. Если криптокошельки обнаружены, злоумышленники загружают дополнительные вредоносные модули с помощью PowerShell-команд.
Среди загружаемых файлов встречаются такие, как metaver_.exe (предназначенный для кражи данных из расширений браузера Chrome), meta.exe (модифицирующий ярлык Chrome для запуска с вредоносным расширением) и другие. Примечательно, что большинство этих исполняемых файлов имеют цифровые подписи, что позволяет им обходить некоторые системы защиты. Однако сам ScarletStealer выглядит крайне сырым продуктом. Например, он пытается закрепиться в системе, создавая автозагрузочный ключ реестра, но в коде отсутствует упоминание файла Runtimebroker_.exe, на который этот ключ ссылается.
Подобные ошибки заставляют задуматься о том, почему злоумышленники используют столь сложную цепочку загрузчиков (с финальным звеном в виде Penguish) и цифровые сертификаты для распространения столь примитивного вредоносного ПО. Обычно такие меры применяются для продвинутых угроз, способных наносить значительный ущерб. ScarletStealer же, напротив, выглядит как незавершенный проект, полный недоработок.
География атак ScarletStealer охватывает преимущественно развивающиеся страны, такие как Бразилия, Турция, Индонезия, Алжир, Египет, Индия и Вьетнам. Также фиксируются случаи заражений в США, Южной Африке и Португалии. Это может указывать на то, что злоумышленники целенаправленно выбирают регионы с менее развитой инфраструктурой кибербезопасности.
Несмотря на низкую эффективность, сам факт использования цифровых подписей и многоступенчатой схемы распространения делает ScarletStealer потенциально опасным. Эксперты рекомендуют пользователям соблюдать базовые меры предосторожности: не открывать подозрительные вложения, использовать антивирусное ПО и регулярно обновлять системы безопасности. В случае обнаружения необычной активности на устройстве следует немедленно провести проверку с помощью специализированных средств защиты.
Индикаторы компрометации
MD5
- 1d3c3869d682fbd0ae3151b419984771
- c0cf3d6d40a3038966f2a4f5bfe2b7a7
- f8b2b941cffb9709ce8f422f193696a0
