В сфере кибербезопасности постоянно эволюционируют не только вредоносные программы, но и методы их распространения. Один из классических, но по-прежнему эффективных векторов - поддельные сайты, предлагающие взломанные версии популярного коммерческого программного обеспечения. Недавний инцидент наглядно демонстрирует, как эта схема была использована для многоступенчатой атаки, в ходе которой на компьютер жертвы последовательно устанавливались вор информации Lumma Stealer и полнофункциональный троянец удалённого доступа (RAT) Sectop, также известный как ArechClient2. Этот случай подчёркивает сохраняющуюся актуальность угроз, связанных с пиратским контентом, и изощрённость технических приёмов, применяемых для обхода систем защиты.
Описание
Исследователь, моделируя поведение рядового пользователя, целенаправленно искал в интернете взломанную версию Adobe Premiere Pro 2026. Результаты поиска привели на сайт, который под видом легитимного сервиса MEGA предлагал скачать архив с программой. Однако вместо видеоредактора жертва получала многослойную вредоносную нагрузку. Изначальный файл представлял собой архив формата 7z, защищённый паролем. Такая мера часто используется злоумышленниками не для конфиденциальности, а для затруднения статического анализа системами безопасности, которые не могут проверить содержимое зашифрованного архива. Пароль, что характерно, был указан прямо на странице загрузки.
После извлечения из архива исполняемого файла "appFile.exe" обнаружилась ещё одна уловка. Размер файла составлял аномальные 806 мегабайт, что сразу вызывает подозрения. Анализ показал, что большая часть файла была заполнена нулевыми байтами (0x00). Эта техника, известная как "раздувание" (inflating), преследует две цели. Во-первых, она кардинально меняет контрольную сумму (хэш) файла, что помогает избегать detection по сигнатурам. Во-вторых, при упаковке в архив такие данные отлично сжимаются, что позволяет злоумышленникам хранить и распространять сравнительно небольшой по размеру исходный архив, который после распаковки превращается в гигантский, но функциональный вредоносный файл. После удаления технического "мусора" реальный размер вредоноса Lumma Stealer составлял около 7 мегабайт.
Попав на систему, Lumma Stealer приступил к своей основной задаче - краже данных. Этот класс вредоносного ПО специализируется на сборе сохранённых в браузерах паролей, cookies, криптовалютных кошельков, данных банковских карт и другой конфиденциальной информации. Собранные данные отправляются на управляющие серверы (C2). В данном случае отчёт исследователя содержит целый список подозрительных доменов верхнего уровня, таких как ".cyou", ".vu", ".club" и ".shop", которые использовались в качестве адресов для командного центра.
Однако атака на этом не завершилась. Lumma Stealer часто выступает в роли разведчика или дроппера для более серьёзных угроз. В данном инциденте следом за ним на заражённый компьютер была загружена вторая стадия - библиотека "NetGui.dll". Этот файл, полученный с другого домена, является нагрузкой для троянца удалённого доступа Sectop RAT. После выполнения с помощью стандартной утилиты "rundll32" вредонос получал возможность долгосрочного закрепления в системе, что открывало злоумышленникам практически полный контроль над компьютером жертвы: от кража файлов и записи нажатий клавиш до использования веб-камеры и микрофона. Сетевой трафик от Sectop RAT направлялся на IP-адрес 91.92.241[.]102 через нестандартные порты, причём часть соединений не использовала шифрование TLS, что, впрочем, не мешало самому трафику быть закодированным.
Данный кейс служит важным напоминанием как для обычных пользователей, так и для специалистов по безопасности. Пиратское программное обеспечение остаётся одним из ключевых векторов заражения. Злоумышленники искусно имитируют легитимные файлообменные сервисы, создавая фишинговые страницы, которые визуально сложно отличить от настоящих. Техники вроде парольной защиты архивов и "раздувания" исполняемых файлов успешно обходят базовые защитные механизмы, полагающиеся на сигнатуры. Для организаций последствия подобной атаки могут быть катастрофическими: утечка учётных данных сотрудников, компрометация внутренних систем установкой RAT и, как следствие, финансовые потери и репутационный ущерб. Основная рекомендация остаётся неизменной - использовать исключительно лицензионное ПО из официальных источников, а для ИБ-специалистов - внедрять многоуровневую защиту, включающую анализ поведения приложений и мониторинг сетевой активности на предмет аномальных соединений с подозрительными доменами.
Индикаторы компрометации
IPv4 Port Combinations
- 91.92.241.102:443
Domains
- cankgmr.cyou
- carytui.vu
- decrnoj.club
- genugsq.best
- longmbx.click
- mushxhb.best
- pomflgf.vu
- strikql.shop
- ulmudhw.shop
URLs
- http://91.92.241.102:9000/wbinjget?q=66B553A8B94CE37C16F4EBC863D51FCC
- http://91.92.241.102:9000/wmglb
- https://arch.primedatahost3.cfd/auth/media/JvWcFd5vUoYTrImvtWQAASTh/Adobe_Premiere_Pro_(2026)_Full_v26.0.2_Espa%C3%B1ol_%5BMega%5D.zip
- https://incolorand.com/how-visual-patch-enhances-ui-consistency-across-releases/?utm_source={CID}&utm_term=Adobe%20Premiere%20Pro%20(2026)%20Full%20v26.0.2%20Espa%C3%B1ol%20[Mega]&utm_content={SUBID1}&utm_medium={SUBID2}
- https://mega-nz.goldeneagletransport.com/Adobe_Premiere_Pro_%282026%29_Full_v26.0.2_Espa%C3%B1ol_%5BMega%5D.zip?c=ABUZ4WkRgQUA_YUCAFVTFwASAAAAAACh&s=360721
MD5
- 0247ab03b61fd9b6b492a94e4ee9663a
- e4f994cf62016863c3a97b6427731b57
- ea6530b440735ca09ef67ec00c6dde46
SHA1
- 0d74b8eff09c3ff63f1a2457839ec6982327f9ef
- 12e29e791b8ccf3a8c170efcf5abf87dfbcd05e8
- beb8c33d52341b1e4697629f7f273c985473ddef
SHA256
- 353ddce78d58aef2083ca0ac271af93659cf0039b0b29d0d169fc015bd3610bc
- 4849f76dafbef516df91fecfc23a72afffaf77ade51f805eae5ad552bed88923
- c7489e3bf546c5f2d958ac833cc7dbca4368dfba03a792849bc99c48a6b2a14f
- d9b576eb6827f38e33eda037d2cda4261307511303254a8509eeb28048433b2f
