Недавно эксперты Stairwell разработали специализированное YARA-правило, предназначенное для охоты на вредоносную программу DarkCloud Stealer - опасный инструмент для кражи конфиденциальных данных, активный с 2022 года. Это правило позволяет идентифицировать как сами образцы DarkCloud, так и файлы со схожим функционалом, что особенно актуально для организаций в Америке и Европе.
Описание
DarkCloud Stealer, написанный на Visual Basic 6, распространяется преимущественно через фишинговые письма с использованием методов социальной инженерии. После того как пользователь переходит по malicious-ссылке, вредоносная нагрузка загружается в память, устанавливает механизмы персистентности и приступает к сбору целевой информации: учетных данных, cookies, данных криптокошельков, контактов и персональных идентификационных данных (PII). Наиболее уязвимыми секторами являются государственные учреждения, юриспруденция, финансы, энергетика, здравоохранение и производственные предприятия.
С 2023 года DarkCloud активно предлагается на теневых форумах как продукт с меню-конфигуратором, позволяющим злоумышленникам выбирать методы эксфильтрации данных и типы targeted-информации. Это делает его особенно гибким и опасным инструментом в руках киберпреступников, нацеленных на финансовую выгоду, кражу личностей и компрометацию систем.
Разработанное YARA-правило не предназначено для прямого детектирования в режиме реального времени, но играет критически важную роль в проактивных процессах threat hunting. Оно позволяет подкреплять гипотезы исследователей, генерировать оповещения о подозрительных файлах, выявлять ранние индикаторы компрометации и обнаруживать производные вредоносные модификации. Кроме того, правило поддерживает ретроспективный анализ исторических данных (retrohunting) и способствует составлению полной картины тактик, техник и процедур (TTPs) злоумышленников.
Интеграция подобных правил в регулярные активности по охоте на угрозы позволяет организациям укреплять свою безопасность, повышать видимость угроз и ускорять реакцию на инциденты. Это особенно важно в условиях растущей сложности и масштаба кибератак, направленных на кражу критически важной информации. Эксперты подчеркивают, что использование YARA в сочетании с другими инструментами анализа помогает не только обнаруживать известные угрозы, но и выявлять новые, ранее неизвестные образцы malicious-software.
YARA
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 | rule Hunt_DarkCloud_Stealer_Variants { meta: description = "Hunts for DarkCloud stealer samples, variants, or otherwise artifacts with similar capabilities." date = "2025-08-10" strings: $s0 = "HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\Foxmail.url.mailto\\Shell\\open\\command\\" wide $s1 = "?Mon Jul 28 00:35:10" ascii $s2 = "~-mj%08X7a" ascii $s3 = "]tEf{z4`" ascii $s4 = ".o9uf1l " ascii $s5 = "SELECT a11,length(a11) FROM nssPrivate" wide $s6 = "2337203685477580?VNAd" ascii $s7 = "-./01234$556" ascii $s8 = "s\\mslib14&" ascii $s9 = "ComputeHash_2" wide $s10 = "rfBw l` .p8/" ascii $s11 = "4PD;QL|3|" ascii $s12 = "y}+0X2q6.20s)?k" ascii $s13 = "C:\\Users\\Public\\Libraries\\vbsqlite3.dll" wide ascii $d0 = "DARKCLOUD" fullword ascii $d1 = "DarkCloud Credentials" fullword ascii $d2 = "DarkCloud Gecko Recovery" fullword ascii $d3 = "DarkCloud CryptoWallets" fullword ascii $d4 = "DarkCloud FilesGrabber" fullword ascii $d5 = "DarkCloud Keylogger" fullword ascii $t0 = "FROM moz_cookies" fullword ascii $t1 = "FROM identities" fullword ascii $t2 = "FROM contacts" fullword ascii $t3 = "FROM logins" fullword ascii $t4 = "FROM credit_cards" fullword ascii $t5 = "FROM cookies" fullword ascii $c0 = "Linq4you" ascii $c1 = "f800001deriv1" ascii $c2 = "decryptF800001" ascii $c3 = "f800001deriv2" ascii $c4 = "$dc45d2c4-49e9-47cd-b267-3740ba204b28" ascii $c5 = "decryptedusername" ascii condition: 6 of ($s*) or (any of ($d*) and 3 of ($t*)) or 4 of ($c*) } |
