Рынок вредоносного программного обеспечения не стоит на месте. Хорошо известные семейства троянов удалённого доступа (RAT) находятся под пристальным наблюдением антивирусных компаний и SOC-центров, что заставляет злоумышленников искать свежие инструменты. Последние месяцы демонстрируют растущий спрос на малоизвестные, но технически продвинутые образцы, способные долгое время оставаться незамеченными. Именно таким образцом стал SilabRAT - новый игрок в экосистеме вредоносного ПО как услуги (MaaS).
Описание
Разработчик, скрывающийся под псевдонимом o1oo1, начал предлагать SilabRAT на русскоязычных подпольных форумах ещё в сентябре 2025 года. Подписка стоит пять тысяч долларов в месяц, причём модель распространения оператор-хостинг: каждый покупатель разворачивает собственный командный центр (C2) и полностью контролирует данные жертв. Продавец не имеет доступа к скомпрометированным машинам, что повышает привлекательность продукта в глазах киберпреступников. Сам o1oo1 известен в сообществе с конца 2020 года, а в 2023 году запустил криптер AsmCrypt - инструмент для обфускации кода, который теперь предлагается в комплекте со скидкой в тысячу долларов. Таким образом, подписчики получают полную цепочку: от скрытия файла до удалённого управления.
Group-IB в новом исследовании детально разобрала механизмы SilabRAT. Специалисты отметили, что троян уже применяется в реальных атаках - в частности, через фишинговые письма и технику ClickFix (социальная инженерия, при которой жертву обманом заставляют выполнить вредоносный код). Один из операторов хвастался, что более 90 процентов заражённых машин оставались активными в течение месяца. Системы безопасности часто классифицируют загрузчик как Hijackloader, но сам полезная нагрузка остаётся неопознанной.
Главное конкурентное преимущество SilabRAT - продвинутые методы кражи сессий и обхода защиты браузеров. Современные сайты привязывают аутентификацию не только к паролю, но и к цифровому отпечатку устройства и IP-адресу. Простое копирование cookie-файлов перестало работать. SilabRAT использует скрытый виртуальный сетевой компьютер (HVNC) - технологию, позволяющую злоумышленнику незаметно управлять заражённой системой. Никаких всплывающих окон, движения мыши или новых процессов, заметных жертве. Вся активность исходит с реального устройства и его IP, поэтому системы мониторинга часто воспринимают её как легитимную.
Кроме того, троян клонирует профиль браузера жертвы. Он перехватывает обращения к файловой системе через перехват API-функций (NtOpenFile, ZwQueryFullAttributesFile) и перенаправляет браузер на копию профиля, созданную атакующим. Собственная сборка Chromium на стороне оператора позволяет импортировать эти данные и войти в любые аккаунты без дополнительных проверок.
Особое внимание уделено обходу встроенной защиты Chrome App-Bound Encryption (ABE). Эта функция, появившаяся в версии 127, шифрует ключи браузера так, что расшифровать их может только сам процесс Chrome, даже если вредоносная программа работает под тем же пользователем. SilabRAT использует DLL с именем APPB.dll и механизм COM-повышения прав: через сервис GoogleChromeElevationService создаётся экземпляр, который вызывает метод DecryptData и получает расшифрованный ключ app_bound_encrypted_key. После этого троян беспрепятственно похищает зашифрованные cookie-файлы.
Но ключевой особенностью SilabRAT является нацеленность на криптовалюты. Панель управления включает модуль AutoWallet, который автоматически сканирует заражённые системы на наличие кошельков и пытается подобрать их пароли, используя пароли, извлечённые из браузера жертвы. Таким образом оператор получает готовые к выводу средства без необходимости привлекать сторонние утилиты. В конфигурации трояна обнаружен список поддерживаемых криптовалютных приложений, включая Ledger Wallet и Trezor Suite, а разработчик уже анонсировал планы по внедрению инъекций в Electron-приложения, чтобы манипулировать их работой в реальном времени.
Дополнительные возможности SilabRAT типичны для современных инфостилеров: запись нажатий клавиш, мониторинг буфера обмена, загрузка дополнительных полезных нагрузок, удалённый рабочий стол через TightVNC. Для закрепления в системе используются ключи реестра Run и планировщик заданий. Обход UAC реализован через интерфейс ICMLuaUtil - приём, хорошо знакомый по программам-вымогателям Lockbit и Blackmatter.
Важно отметить, что, несмотря на обилие функций, сам троян на данный момент имеет ограниченные средства обхода антивирусов. Разработчик полагается на сторонний криптер (AsmCrypt), который и продаёт со скидкой. Это означает, что при отсутствии обфускации SilabRAT может быть обнаружен стандартными сигнатурами. Однако в связке с AsmCrypt он становится значительно опаснее.
Рост числа подобных RAT свидетельствует о чёткой тенденции: киберпреступники ищут стабильные, трудно обнаруживаемые инструменты с акцентом на кражу сессий и криптовалютных активов. Традиционный фишинг паролей уступает место более изощрённым методам, таким как клонирование профиля и HVNC. Для защиты организаций и частных пользователей необходимо усилить мониторинг на уровне конечных точек, внедрять многофакторную аутентификацию, регулярно обновлять браузеры и операционные системы, а также проявлять бдительность к любым неожиданным запросам на выполнение кода или открытие вложений. Только комплексный подход и своевременное получение информации о новых угрозах, включая данные из Threat Intelligence, позволят снизить риски от таких атак, как SilabRAT.
Индикаторы компрометации
IPv4
- 91.199.163.124
SHA256
- 3a6adbe0081b2488e0f137496e92591e0c29148154b2d99faadab9cc435b879b
- 79f8da9f9fb4ac7c16d9c210f1f6ef418357a3e7bf602b1dd03a490596fa58c5
- fb56e66920c84ef9e51db0ea23144f5755daef97cbff8613b05ab56d0dc9d623
- fbce30a0c852972fdc24f1b6a7c270512a50ef1a7c6c88c88b92a2dcbdfdd023