ИБ-исследователи из BlackFog обнаружили новую платформу вредоносного ПО как услуги (MaaS), которую назвали Venom Stealer. Она разработана таким образом, чтобы сохранять постоянный доступ к украденным данным после первоначального заражения.
Venom Stealer интегрировала модель социальной инженерии ClickFix непосредственно в свою панель управления, что позволяет злоумышленникам автоматизировать всю цепочку атаки от входа до кражи данных. Платформа работает по подписке стоимостью от 250 долларов в месяц до 1800 долларов за безлимитный доступ и включает лицензирование на основе Telegram и партнёрскую программу.
Процесс заражения начинается, когда пользователь попадает на поддельную веб-страницу, например, CAPTCHA Cloudflare, запрос на обновление ОС, ошибку SSL-сертификата или страницу установки шрифтов. Жертвам предлагается открыть диалоговое окно, вставить команду и выполнить её самостоятельно, что создаёт впечатление, будто действие инициировано самим человеком, и помогает обойти системы обнаружения.
После запуска вредонос извлекает сохранённые пароли, сессионные cookies, историю просмотров, данные автозаполнения и информацию о криптовалютных кошельках из браузеров на базе Chromium и Firefox. Зловред также выполняет идентификацию системы и собирает данные расширений браузера, создавая подробный профиль скомпрометированной системы.
В отличие от традиционных стилеров, которые запускаются один раз и закрываются, Venom Stealer остаётся активным и постоянно отслеживает базу данных авторизации Chrome, чтобы в режиме реального времени перехватывать вновь сохранённые учётные данные. Это делает их ротацию менее эффективной стратегией реагирования и продлевает период, в течение которого сведения могут быть украдены.
Если обнаруживаются криптокошельки, данные о них отправляются в серверный механизм взлома, работающий на инфраструктуре GPU. После средства автоматически переводятся в несколько блокчейн-сетей, включая токены и позиции в децентрализованных финансах.
Чтобы прервать цепочку атак, эксперты Black Fog рекомендуют ограничить выполнение PowerShell, отключить диалоговое окно «Выполнить» для обычных пользователей и обучить сотрудников распознавать попытки применения социальной инженерии в стиле ClickFix. Мониторинг исходящего сетевого трафика также важен, поскольку ВПО рассчитывает на немедленную утечку данных на серверы, контролируемые злоумышленниками.
Усам Оздемиров
.png)
.jpg)
.jpg)