Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Chihuahua Infostealer: Современные угрозы кражи браузерных и крипто-данных

3 мин
В апреле 2025 года специалисты по кибербезопасности обнаружили новую многоэтапную вредоносную программу Chihuahua Infostealer, которая в первую очередь нацелена на кражу учетных данных браузеров и данных криптовалютных кошельков. Это вредоносное ПО демонстрирует высокую техническую сложность и использует многоуровневую тактику уклонения от обнаружения, что подчеркивает растущую угрозу для пользователей и организаций. Процесс инфицирования начинается с запуска жертвой вредоносного скрипта PowerShell, зачастую встроенного в документ. Этот начальный этап представляет собой однострочную программу, которая выполняет декодирование полезной нагрузки, закодированной в Base64, и исполняет её напрямую в памяти, не создавая файлов на диске. Такой подход значительно снижает вероятность обнаружения со стороны антивирусных систем и средств мониторинга. После закрепления в системе вредоносная программа устанавливает запланированные задачи Windows, которые обеспечивают постоянное выполнение и контроль
Оглавление
Источник: www.picussecurity.com
Источник: www.picussecurity.com

В апреле 2025 года специалисты по кибербезопасности обнаружили новую многоэтапную вредоносную программу Chihuahua Infostealer, которая в первую очередь нацелена на кражу учетных данных браузеров и данных криптовалютных кошельков. Это вредоносное ПО демонстрирует высокую техническую сложность и использует многоуровневую тактику уклонения от обнаружения, что подчеркивает растущую угрозу для пользователей и организаций.

Особенности архитектуры и механизмы заражения

Процесс инфицирования начинается с запуска жертвой вредоносного скрипта PowerShell, зачастую встроенного в документ. Этот начальный этап представляет собой однострочную программу, которая выполняет декодирование полезной нагрузки, закодированной в Base64, и исполняет её напрямую в памяти, не создавая файлов на диске. Такой подход значительно снижает вероятность обнаружения со стороны антивирусных систем и средств мониторинга.

  • PowerShell-скрипты запутаны и передаются через доверенные платформы, например, Google Drive.
  • Использование команд с повышенными правами, отключение консоли и обход ограничений профиля пользователя.
  • Восстановление закодированной полезной нагрузки в памяти с помощью шестнадцатеричного кодирования для обхода статического анализа.

Методы сохранения активности и обновления

После закрепления в системе вредоносная программа устанавливает запланированные задачи Windows, которые обеспечивают постоянное выполнение и контроль над состоянием заражения. Эти задачи настроены на многократный запуск скрипта, при этом происходит регулярная проверка показателей и получение обновленных полезных данных с резервных командных серверов (C2).

Особое внимание заслуживает метод запуска последнего компонента — он загружается из URL, размещенных в облачном хранилище, и выполняется в памяти с применением .NET reflection, что дополнительно повышает скрытность вредоноса и его устойчивость к обнаружению.

Цели и способы сбора данных

Chihuahua Infostealer нацелен на:

  • Извлечение учетных данных браузера по известным путям.
  • Поиск и кражу файлов, связанных с расширениями криптовалютных кошельков, включая запутывание идентификаторов расширений Chrome.
  • Извлечение токенов сеанса и файлов кошельков при обнаружении совпадений.

Все украденные данные шифруются и передаются по протоколу HTTPS, что обеспечивает их защищённость во время передачи.

Технический анализ и соответствие MITRE ATT&CK

Технический разбор вредоносного ПО показывает, что Chihuahua Infostealer реализует множество тактик, описанных в платформе MITRE ATT&CK:

  • Initial Access: фишинговые атаки с использованием вредоносных документов и необходимость взаимодействия пользователя.
  • Execution: использование запутанных PowerShell-команд, выполнение кода в памяти (Fileless execution).
  • Persistence: запланированные задачи Windows для постоянного контроля и обновления.
  • Defense Evasion: отключение консоли, обход профилей пользователя, шифрование и удаление локальных следов.
  • Collection: целенаправленный сбор учетных данных браузеров и криптовалютных кошельков.
  • Exfiltration: передача данных по HTTPS с последующей очисткой следов.

Заключение

Chihuahua Infostealer — яркий пример эволюции вредоносных программ, превращающихся в более скрытные, модульные и адаптивные инструменты атаки. Его уникальные методы, включая выполнение в памяти, использование легитимных системных ресурсов и постоянное обновление через запланированные задачи, подчеркивают серьезность современных угроз в области информационной безопасности.

Для защиты от подобных угроз необходимо усилить меры безопасности, особенно ориентированные на обнаружение fileless-атак и мониторинг активности запланированных задач. Комплексный подход и своевременный анализ помогут сократить риски и предотвратить утечки конфиденциальных данных.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Chihuahua Infostealer: Современные угрозы кражи браузерных и крипто-данных".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.