Новое YARA-правило для охоты на угрозы: обнаружение DarkCloud Stealer в корпоративных сетях

Недавно эксперты Stairwell разработали специализированное YARA-правило, предназначенное для охоты на вредоносную программу DarkCloud Stealer - опасный инструмент для кражи конфиденциальных данных, активный с 2022 года. Это правило позволяет идентифицировать как сами образцы DarkCloud, так и файлы со схожим функционалом, что особенно актуально для организаций в Америке и Европе.

Описание

DarkCloud Stealer, написанный на Visual Basic 6, распространяется преимущественно через фишинговые письма с использованием методов социальной инженерии. После того как пользователь переходит по malicious-ссылке, вредоносная нагрузка загружается в память, устанавливает механизмы персистентности и приступает к сбору целевой информации: учетных данных, cookies, данных криптокошельков, контактов и персональных идентификационных данных (PII). Наиболее уязвимыми секторами являются государственные учреждения, юриспруденция, финансы, энергетика, здравоохранение и производственные предприятия.

С 2023 года DarkCloud активно предлагается на теневых форумах как продукт с меню-конфигуратором, позволяющим злоумышленникам выбирать методы эксфильтрации данных и типы targeted-информации. Это делает его особенно гибким и опасным инструментом в руках киберпреступников, нацеленных на финансовую выгоду, кражу личностей и компрометацию систем.

Разработанное YARA-правило не предназначено для прямого детектирования в режиме реального времени, но играет критически важную роль в проактивных процессах threat hunting. Оно позволяет подкреплять гипотезы исследователей, генерировать оповещения о подозрительных файлах, выявлять ранние индикаторы компрометации и обнаруживать производные вредоносные модификации. Кроме того, правило поддерживает ретроспективный анализ исторических данных (retrohunting) и способствует составлению полной картины тактик, техник и процедур (TTPs) злоумышленников.

Интеграция подобных правил в регулярные активности по охоте на угрозы позволяет организациям укреплять свою безопасность, повышать видимость угроз и ускорять реакцию на инциденты. Это особенно важно в условиях растущей сложности и масштаба кибератак, направленных на кражу критически важной информации. Эксперты подчеркивают, что использование YARA в сочетании с другими инструментами анализа помогает не только обнаруживать известные угрозы, но и выявлять новые, ранее неизвестные образцы malicious-software.

YARA

rule Hunt_DarkCloud_Stealer_Variants {

meta:

author = "Evelyne Diaz Araque ([email protected])"

description = "Hunts for DarkCloud stealer samples, variants, or otherwise artifacts with similar capabilities."

date = "2025-08-10"

strings:

$s0 = "HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\Foxmail.url.mailto\\Shell\\open\\command\\" wide

$s1 = "?Mon Jul 28 00:35:10" ascii

$s2 = "~-mj%08X7a" ascii

$s3 = "]tEf{z4`" ascii

$s4 = ".o9uf1l " ascii

$s5 = "SELECT a11,length(a11) FROM nssPrivate" wide

$s6 = "2337203685477580?VNAd" ascii

$s7 = "-./01234$556" ascii

$s8 = "s\\mslib14&" ascii

$s9 = "ComputeHash_2" wide

$s10 = "rfBw l` .p8/" ascii

$s11 = "4PD;QL|3|" ascii

$s12 = "y}+0X2q6.20s)?k" ascii

$s13 = "C:\\Users\\Public\\Libraries\\vbsqlite3.dll" wide ascii

$d0 = "DARKCLOUD" fullword ascii

$d1 = "DarkCloud Credentials" fullword ascii

$d2 = "DarkCloud Gecko Recovery" fullword ascii

$d3 = "DarkCloud CryptoWallets" fullword ascii

$d4 = "DarkCloud FilesGrabber" fullword ascii

$d5 = "DarkCloud Keylogger" fullword ascii

$t0 = "FROM moz_cookies" fullword ascii

$t1 = "FROM identities" fullword ascii

$t2 = "FROM contacts" fullword ascii

$t3 = "FROM logins" fullword ascii

$t4 = "FROM credit_cards" fullword ascii

$t5 = "FROM cookies" fullword ascii

$c0 = "Linq4you" ascii

$c1 = "f800001deriv1" ascii

$c2 = "decryptF800001" ascii

$c3 = "f800001deriv2" ascii

$c4 = "$dc45d2c4-49e9-47cd-b267-3740ba204b28" ascii

$c5 = "decryptedusername" ascii

condition:

6 of ($s*) or

(any of ($d*) and 3 of ($t*)) or

4 of ($c*)

}