В конце июля 2025 года команда Threat Response Unit (TRU) компании eSentire обнаружила активность злоумышленников, использующих вредоносное ПО SocGholish (также известное как FakeUpdates) для сбора системной информации и развертывания Python-скрипта, предназначенного для кражи паролей из браузеров Google Chrome и Microsoft Edge. В ходе дальнейшего расследования специалисты TRU с умеренной уверенностью связали этот инструмент с бывшими аффилиатами RansomHub - группы, предоставляющей RaaS (Ransomware-as-a-Service), которая появилась в феврале 2024 года, но прекратила свою деятельность в апреле 2025 года. Один из таких аффилиатов получил условное обозначение ShadowCoil.
Описание
Обнаруженный скрипт был упакован с помощью того же упаковщика, который ранее использовался в атаках, связанных с RansomHub. Однако более детальный анализ показал, что это новый инструмент, специально ориентированный на извлечение учетных данных из браузеров Chrome и Edge. Сценарий выполняет сложный процесс декодирования данных, применяя несколько уровней шифрования, включая Base85, AES-256 (GCM), AES-128 (CTR), ChaCha20, а также методы HKDF, Blake3 и XOR. Завершающим этапом является распаковка данных с использованием ZLIB.
Основная функциональность скрипта заключается в поиске каталогов, содержащих данные пользователей браузеров, извлечении и расшифровке мастер-ключа, а затем - сохраненных логинов, паролей и связанных с ними URL-адресов. Для этого инструмент анализирует файлы Local State и Login Data, которые хранятся в формате JSON и SQLite соответственно. Расшифровка паролей происходит с помощью мастер-ключа или, в некоторых случаях, через API Windows DPAPI (Data Protection API). После успешного извлечения данных скрипт выводит их на экран.
Эта находка подчеркивает, что даже после прекращения деятельности RaaS-групп их бывшие участники продолжают разрабатывать и использовать собственные инструменты для кибератак. ShadowCoil демонстрирует высокий уровень технической подготовленности, применяя многослойное шифрование и обфускацию, что значительно усложняет анализ и обнаружение вредоносного кода. Специалисты eSentire продолжают отслеживать активность подобных групп, чтобы оперативно реагировать на новые угрозы и минимизировать риски для организаций.
Исследование TRU подтверждает, что злоумышленники активно эксплуатируют уязвимости в популярных браузерах, что делает критически важным своевременное обновление ПО и применение дополнительных мер защиты. Рекомендуется обратить особое внимание на файлы Local State и Login Data в браузерах, так как их компрометация может привести к утечке конфиденциальных данных.
Индикаторы компрометации
IPv4
- 45.56.162.61
Domains
- app.novationseo.com
URLs
- https://app.novationseo.com/checkAjax
SHA256
- 6672cbbecd7c79fd2fb6c35ee870eddff784aa1a422910c3e07c8d08634b4e89
- bcecaaaedc6c42671c6f7080425daff1e7fbf9ca4df85c9052385dcc4c36cb64
- d8987845c526b911a02bf0372d35e09400f384da98b6628f87fdcf00760ca230
Yara
1 2 3 4 5 6 7 8 9 10 11 12 13 14 | rule ShadowCoil_Packed_Python { meta: author = "YungBinary" description = "Detects packed/python RansomHub ex-affiliate tools" target_entity = "file" strings: $a = "exec(pc_start(" ascii $b = "get_hw_key():" ascii $c = "'vm', 'virtual'" ascii $d = "TracerPid:" ascii condition: all of them } |
