Возрождение опасности: Информационный стилер NOVABLIGHT набирает обороты в темном сегменте сети

Группа угроз, стоящая за проектом, идентифицируемая как Sordeal Group, проявляет признаки франкоязычного происхождения, что подтверждается анализом их коммуникаций в Telegram и Discord-каналах. Эти платформы служат основными точками продаж и технической поддержки для покупателей вредоносного ПО, предлагающего лицензии сроком до одного года.

Распространение NOVABLIGHT происходит через изощренные фишинговые схемы, маскирующиеся под легальные игровые установщики. В одном из задокументированных случаев злоумышленники использовали домен gonefishe[.]com, предлагавший французскую версию популярной игры, аналогичной недавним релизам на Steam. После загрузки поддельного установщика жертва невольно инсталлирует сложно детектируемый стилер, чья низкая обнаруживаемость антивирусными решениями подтверждена данными VirusTotal. Монетизация проекта реализована через партнерские площадки Billgang, Sellix и Sellpass, где покупатели приобретают API-ключи для генерации бинарных файлов через Telegram-бота или Discord-интерфейсы. Особую озабоченность вызывает активная реферальная программа, предлагающая бесплатные ключи за привлечение новых пользователей, что ускоряет распространение угрозы.

Технический анализ последней версии NOVABLIGHT (2.2) выявил многослойную систему защиты от анализа. Стилер использует комбинацию антиотладочных техник, включая детектирование виртуальных окружений по специфическим драйверам (balloon.sys, qemu-ga), проверку имен пользователей на наличие ключевых слов вроде "sandbox", анализ разрешения экрана и даже динамическую загрузку черных списков IP-адресов и аппаратных идентификаторов с GitHub-репозиториев. После проникновения в систему вредоносное ПО разворачивает агрессивные функции саботажа: принудительное отключение Windows Defender через исполняемый скрипт DisableWD.bat, блокировка диспетчера задач путем манипуляций с реестром, систематический сброс сетевых адаптеров для нарушения интернет-соединения. Особо деструктивным элементом является функция "antireset", которая отключает среду восстановления Windows и удаляет теневые копии данных командой vssadmin.

Ключевая опасность NOVABLIGHT заключается в его модульной конструкции. Покупатель может кастомизировать функционал через конфигурационные флаги, но исходный код всех модулей остается в теле программы, активируясь при изменении настроек. Среди наиболее разрушительных компонентов выделяется "кошельковый клиппер", незаметно подменяющий криптовалютные адреса в буфере обмена на контролируемые злоумышленниками. Другая опасная функция - инъекция в Electron-приложения (Discord, Exodus, Mullvad VPN), где стилер перепаковывает оригинальные файлы .asar, внедряя код для перехвата паролей и сессий. Для кражи данных из браузеров NOVABLIGHT загружает специализированный инструмент дешифровки из репозитория GitHub, замаскированного под утилиту для Minecraft.

Система сбора информации поражает своей всеохватностью: от базовых данных о системе и скриншотов рабочего стола до записи видео с веб-камеры через библиотеку direct-synch-show. Стилер целенаправленно ищет файлы с ключевыми словами (passw, token, crypto), архивирует их в files.zip и перехватывает пароли Wi-Fi сетей через системные команды netsh. Эксплуатация социальной инженерии дополняется "троллингом" - блокировкой удаления собственного исполняемого файла через манипуляции с правами доступа ICACLS и выводом провокационных сообщений.

Инфраструктура эксфильтрации данных построена по принципу избыточности. NOVABLIGHT использует три канала: специализированную веб-панель на доменах nova-blight[.]top, Discord-вебхуки и Telegram API с кастомными прокси-серверами. При сбое основного канала активируется резервный механизм прямой отправки через API Telegram. Для передачи данных задействованы как легитимные файлообменники (Catbox, GoFile, TmpFiles), так и специализированные серверы группы, включая bamboulacity.nova-blight[.]xyz. Техники обфускации кода включают продвинутые методы: маппинг данных через глобальные массивы __p_6Aeb_dlrArray, кастомное кодирование Base91 с уникальным алфавитом, "уплощение" объектов доступа и диспетчеризацию вызовов через центральную функцию __p_jGTR_dispatcher_26.

Активность в Telegram-сообществах пользователей NOVABLIGHT демонстрирует вопиющее противоречие между заявленными "образовательными целями" проекта и реальной криминальной эксплуатацией. Участники открыто публикуют скриншоты дорогих покупок (смартфоны, электроника) и переводов денег, подтверждая успешность атак на криптокошельки. При этом разработчики продолжают развивать инфраструктуру, о чем свидетельствуют находки связанных GitHub-аккаунтов (KSCHcuck1, CrackedProgramer412), где хранятся модули для инъекций и компоненты управления. Учитывая низкую детектируемость, модульную архитектуру и агрессивные функции саботажа, NOVABLIGHT представляет растущую угрозу как для частных пользователей, так и для корпоративных сетей, требуя повышенного внимания со стороны специалистов по информационной безопасности.

Domains

• api.nova-blight.top
• bamboulacity.nova-blight.xyz
• nova-blight.site
• nova-blight.xyz
• shadow.nova-blight.top

SHA256

• 39f09771d70e96c7b760b3b6a30a015ec5fb6a9dd5bc1e2e609ddf073c2c853d
• 97393c27195c58f8e4acc9312a4c36818fe78f2ddce7ccba47f77a5ca42eab65
• ed164ee2eacad0eea9dc4fbe271ee2b2387b59929d73c843281a8d5e94c05d64