В апреле 2025 года была обнаружена новая вредоносная программа — PupkinStealer, представляющая собой infostealer на базе .NET, нацеленную на кражу конфиденциальной информации у пользователей Windows. Это программное обеспечение выделяется своей простотой использования и эффективностью в добыче паролей и токенов из популярных приложений, а передача данных осуществляется посредством Telegram, что значительно затрудняет обнаружение атаки.
Особенности PupkinStealer и методы распространения
PupkinStealer ведёт активную охоту за конфиденциальной информацией, в частности:
- Сохранённые пароли веб-браузеров, преимущественно на базе Chromium;
- Токены сеансов приложений Telegram и Discord;
- Скриншоты экрана и другие данные, которые могут быть полезны злоумышленникам.
Распространение вредоносного ПО происходит через социальную инженерию — фишинговые письма и загрузку троянских программ. Запускается PupkinStealer вредоносным exe-файлом, который совместим как с 32-, так и с 64-разрядными версиями Windows.
Принцип работы и технические детали
Главной технической особенностью PupkinStealer является его подход «взломай и захвати». Вредоносное ПО:
- Не создаёт механизмы сохранения на заражённом устройстве, что исключает выживание после перезагрузки или завершения процесса;
- Одновременно запускает несколько задач, быстро извлекая данные всего за несколько секунд;
- Агрессивно отключает процессы браузеров и мессенджеров, чтобы получить доступ к базам данных без препятствий;
- Использует API учетных данных для расшифровки информации из SQLite-баз браузеров;
- Сохраняет украденные логины и пароли во временных текстовых файлах перед отправкой.
Уникальный способ передачи похищенной информации — через Telegram Bot API. Вредоносная программа формирует ZIP-архив с украденными данными и отправляет его в приватный чат злоумышленника. Благодаря использованию протокола HTTPS трафик выглядит как обычный веб-трафик, что снижает вероятность обнаружения.
Происхождение и влияние на уровень угроз
Судя по коду, PupkinStealer во многом напоминает популярные проекты с открытым исходным кодом, например, StormKitty, что указывает на возможное использование заимствованных наработок. По данным анализа, вредоносное ПО создано российскими киберпреступниками и ориентировано на широкий круг пользователей Windows — от новичков до более опытных хакеров, благодаря простоте настройки и эксплуатации.
Рекомендации по противодействию и защите
Для эффективной защиты от угроз, исходящих от PupkinStealer, организациям рекомендуется использовать комплексный подход:
- Обучение сотрудников распознаванию фишинговых атак и опасных писем;
- Внедрение надежных систем фильтрации электронной почты и веб-сайтов;
- Использование современных средств защиты конечных устройств с функциями обнаружения подозрительного поведения;
- Применение контроля приложений, ограничивающего выполнение программ в рискованных каталогах.
Особое внимание следует уделить мониторингу выполнения процессов и сетевого трафика в реальном времени, особенно активности, связанной с Telegram API, что позволит вовремя выявить попытки передачи данных злоумышленникам.
В случае выявления заражения критично быстро изолировать хост, произвести сброс учетных данных и провести тщательное сканирование системы для исключения последующих угроз.
Заключение
PupkinStealer представляет собой современный вызов для кибербезопасности, объединяя в себе технологическую простоту, высокую скорость эксплуатации и эффективные средства обхода обнаружения. Адекватная подготовка и своевременное реагирование — ключевые факторы в борьбе с такими угрозами.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Анализ PupkinStealer: новая угроза кражи данных через Telegram".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.