Исследователи обнаружили сложный модульный троянец Hannibal Stealer, написанный на платформе .NET. Этот вредонос выделяется среди аналогичных угроз благодаря сочетанию мощного функционала по краже данных и продвинутых механизмов маскировки. Используя DLL-инъекции и динамическую загрузку компонентов, он успешно обходит многие системы защиты, а его полезная нагрузка, зашифрованная по алгоритму AES-GCM через Windows Cryptography API, остаётся невидимой при статическом анализе.
Основной целью Hannibal Stealer становятся конфиденциальные данные пользователей — сохранённые пароли и куки из популярных браузеров, а также содержимое криптовалютных кошельков, включая Bitcoin Core и Ethereum. Особую опасность представляет функция подмены адресов в буфере обмена, позволяющая перенаправлять криптовалютные переводы злоумышленникам. Вредонос активно маскирует свою деятельность, имитируя легитимные системные процессы, и взаимодействует с ключевыми библиотеками Windows для сетевой разведки и управления памятью.
Для управления и передачи данных троянец использует Telegram в качестве канала связи, что позволяет эффективно скрывать C2-инфраструктуру. Дополнительно вредонос собирает системную информацию, конфигурации VPN-сервисов и FTP-клиентов, отправляя всё на скрытые серверы.
Эксперты отмечают, что сочетание широкого функционала по краже данных с изощрёнными методами маскировки делает Hannibal Stealer серьёзной угрозой, требующей особого внимания как от обычных пользователей, так и от специалистов по кибербезопасности.