Вредоносный инструментарий Salat Stealer использует блокчейн TON для неуязвимости инфраструктуры

Исследователи информационной безопасности обратили внимание на Salat Stealer из-за его технической изощрённости. В основе программы лежит несколько режимов запуска, которые выбираются в зависимости от переданных аргументов командной строки. Программа может работать как простой клавиатурный шпион, как исполнитель команд из внешнего файла или как полноценный агент для удалённого доступа. Такой подход позволяет злоумышленникам адаптировать использование вредоносного кода под конкретную задачу, экономя ресурсы и снижая заметность.

Одной из главных особенностей Salat Stealer является его система обфускации (запутывания кода). Программа использует шесть различных режимов для шифрования строк, а процесс расшифровки части данных привязан к уникальным характеристикам компьютера жертвы. Исследователи обнаружили в её коде необычные артефакты. Например, первый ключ для алгоритма AES-128-GCM генерируется из простой строки "biba", а один из ключей XOR представляет собой гексагональное представление русскоязычной фразы. Эти детали говорят о том, что автор программы либо недостаточно серьёзно отнёсся к сокрытию улик, либо использует их как элемент запутывания анализаторов.

Ключевым моментом в архитектуре Salat Stealer является его канал управления, или C2. Обычно злоумышленники используют один или несколько серверов, которые можно заблокировать или отключить. В данном случае авторы пошли дальше. Вредоносная программа содержит в себе список из пяти зашифрованных адресов своих командных центров. При запуске она проверяет доступные протоколы связи, отдавая предпочтение современным и скрытным решениям: QUIC и WebSocket. Эти протоколы сложнее блокировать стандартными средствами сетевой защиты, так как они маскируются под обычный трафик. Если все пять серверов оказываются недоступны, программа переходит к плану Б.

Этот план Б является, пожалуй, самой интересной технической находкой. Salat Stealer обращается к блокчейну TON (The Open Network) за новыми адресами для управления. Механизм включает в себя запросы к системе DNS через зашифрованный протокол, декодирование адреса смарт-контракта в сети TON и проверку ответа с помощью встроенных ключей RSA (алгоритма шифрования с открытым ключом). Такой подход делает инфраструктуру управления практически не уничтожаемой. Пока существует блокчейн TON и пока смарт-контракт профинансирован, программа всегда сможет получить свежие команды от своего оператора. Это серьёзный шаг в эволюции методов сокрытия связи для вредоносного кода.

Функционал кражи данных у Salat Stealer также обширен. Он собирает информацию о системе, включая название процессора, объём оперативной памяти, модель видеокарты и имя пользователя. Эти данные отправляются на сервер управления для первичной идентификации устройства. Затем программа приступает к краже учётных данных. В её арсенал входят похитители токенов Discord и Steam, а также инструменты для извлечения паролей и файлов cookie из браузеров на основе Chromium и Gecko (Firefox). Для работы с защищёнными данными Chrome используется API-функция DPAPI (интерфейс защиты данных) самой операционной системы Windows.

Набор команд удалённого управления впечатляет. Оператор может не только выгружать файлы и делать скриншоты, но и запускать интерактивную оболочку на компьютере жертвы, транслировать изображение с рабочего стола в реальном времени, вести запись с веб-камеры и микрофона. Особого внимания заслуживает функция SOCKS5-прокси (протокол для прокси-соединения). Она позволяет злоумышленнику использовать заражённый компьютер как транзитный узел. Это открывает путь для скрытого перемещения внутри корпоративной сети жертвы и атак на другие устройства.

Чтобы остаться незамеченным как можно дольше, программа использует три метода закрепления в системе. Она копирует себя в системную папку под видом одного из легитимных исполняемых файлов Windows, например explorer.exe или svchost.exe, и прячет его. Затем создаёт задачу в планировщике Windows, которая запускает вредоносный код при каждом входе пользователя в систему и повторно активирует его каждые 30 минут. Третий способ - запись в реестр Windows в ветку автозагрузки. Такая избыточность гарантирует, что простое удаление одного элемента не очистит систему от заражения.

Появление Salat Stealer - это тревожный сигнал для специалистов по защите информации. Программа демонстрирует конвергенцию двух опасных трендов. С одной стороны, это высокопрофессиональный инструмент для кражи данных, с другой - платформа с устойчивой к отключению инфраструктурой. Использование блокчейна TON для резервного канала управления делает классические методы блокировки IP-адресов и доменов малоэффективными. Это вынуждает специалистов по безопасности пересматривать подходы к обнаружению угроз, делая акцент на поведенческом анализе в конечных точках, а не на фильтрации сетевого трафика по спискам блокировок. Salat Stealer является очередным напоминанием о том, что киберугрозы становятся всё более сложными и адаптивными.

URLs

• https://salat.cn/sa1at/
• https://salator.es/sa1at/
• https://websalat.top/sa1at/
• https://wrat.in/sa1at/
• https://wrat.in:992/sa1at/

MD5

• 25802493e7ef64523d6ab13ad6e5555b

SHA1

• b8f4a8c2e7d1f3a9b5c6d8e0f1a2b3c4d5e6f7a8

SHA256

• 25802493e7ef64523d6ab13ad6e5555b2b08fd4576ae2edd905ad939d256aa3a