Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Katz Stealer 2025: Новая угроза кражи данных и обхода защиты

1
3 мин
В 2025 году на киберпреступном горизонте появилась новая сложная вредоносная программа – Katz Stealer. Это MaaS (Malware-as-a-Service), ориентированная на агрессивную кражу учетных данных и конфиденциальной информации с использованием продвинутых скрытых технологий. Эксперты отмечают, что этот стелс-малварь обладает уникальными модулями доставки и обходит большинство современных средств защиты. Основной способ заражения пользователей связан с: После запуска жертвой вредоносного JavaScript-дроппера происходит вызов PowerShell с флагами, минимизирующими вероятность обнаружения. В памяти расшифровывается Base64-кодированный двоичный объект, далее загружается файл, маскируемый под изображение, в которое «спрятана» полезная нагрузка. Ключевая особенность Katz Stealer – загрузка и выполнение вредоносного кода исключительно в памяти (fileless-техника), что значительно осложняет его выявление традиционными антивирусными решениями. Вредоносная программа содержит многоступенчатую систему проверо
Оглавление
Источник: www.picussecurity.com
Источник: www.picussecurity.com

Katz Stealer: новая угроза в мире кибербезопасности 2025 года

В 2025 году на киберпреступном горизонте появилась новая сложная вредоносная программа – Katz Stealer. Это MaaS (Malware-as-a-Service), ориентированная на агрессивную кражу учетных данных и конфиденциальной информации с использованием продвинутых скрытых технологий. Эксперты отмечают, что этот стелс-малварь обладает уникальными модулями доставки и обходит большинство современных средств защиты.

Методы распространения и цепочка заражения

Основной способ заражения пользователей связан с:

  • фишинговыми кампаниями;
  • загрузкой поддельного программного обеспечения.

После запуска жертвой вредоносного JavaScript-дроппера происходит вызов PowerShell с флагами, минимизирующими вероятность обнаружения. В памяти расшифровывается Base64-кодированный двоичный объект, далее загружается файл, маскируемый под изображение, в которое «спрятана» полезная нагрузка.

Ключевая особенность Katz Stealer – загрузка и выполнение вредоносного кода исключительно в памяти (fileless-техника), что значительно осложняет его выявление традиционными антивирусными решениями.

Механизмы обхода защиты и обеспечения скрытности

Вредоносная программа содержит многоступенчатую систему проверок:

  • анализ языковых настроек на соответствие черному списку;
  • детектирование виртуальной или изолированной среды;
  • подавление своего выполнения при подозрении на анализ.

Для повышения привилегий Katz Stealer использует обход контроля учетных записей (UAC bypass) через легитимную утилиту Microsoft Connection Manager (cmstp.exe).

Далее вредоносный код внедряется в легитимный системный процесс MSBuild.exe, что позволяет ему работать с повышенными правами и оставаться скрытым от пользователя и защитных систем.

Цели атаки и методы кражи данных

Katz Stealer специально ориентирован на следующие типы информации:

  • сохранённые учетные данные и пароли;
  • токены сессий и файлы cookie;
  • данные криптовалютных кошельков;
  • конфиденциальная информация из веб-браузеров Chromium и Firefox.

Для добычи данных вредонос использует внедрение DLL в процессы браузеров. Это позволяет ему обходить защитные механизмы, получая доступ к данным с теми же правами, что и сам браузер. Отдельно стоит отметить, что:

  • для Chromium реализован процесс расшифровки зашифрованных данных;
  • для Firefox происходит прямое извлечение важных файлов сессий и паролей.

Кроме того, Katz Stealer нацелен на настольное приложение Discord. Он модифицирует JavaScript-пакеты этого мессенджера для постоянного контроля и запуска вредоносного кода при каждом старте приложения, что обеспечивает злоумышленникам скрытую коммуникацию и управление.

Особое внимание к криптовалютным активам

Кража криптовалютных данных занимает центральное место в функционале вредоноса. Katz Stealer сканирует файлы кошельков и ключи, используя популярные приложения и расширения браузеров. Доступ к этим данным позволяет преступникам легко похищать криптовалюту без сложных взломов.

Коммуникация с сервером управления

Для связи с командно-контрольным сервером (C2) вредонос использует уникальный идентификатор имплантата и обменивается данными в режиме реального времени, передавая собранную информацию по защищённым каналам. Это минимизирует риски обнаружения, поскольку данные не сохраняются локально, а сразу отправляются на сервер злоумышленников.

Признаки заражения и рекомендации по защите

Эксперты отмечают следующие индикаторы возможного внедрения Katz Stealer:

  • необычные строки User-Agent в сетевом трафике;
  • временные DLL-библиотеки в системных папках;
  • подозрительные изменения в файлах приложений, например, Discord index.js.

С учётом высокой сложности и скрытности данной угрозы организациям настоятельно рекомендуется:

  • усилить мониторинг систем и сетевого трафика;
  • использовать современные методы обнаружения fileless-атак;
  • проводить регулярное обучение пользователей по выявлению фишинговых угроз;
  • обновлять средства защиты для обнаружения сложных MaaS-программ.

Katz Stealer демонстрирует, насколько киберпреступники совершенствуют свои технологии для обхода современных систем защиты. Внутрикорпоративная безопасность и повышение уровня осведомлённости сотрудников остаются основным барьером против подобных атак.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Katz Stealer 2025: Новая угроза кражи данных и обхода защиты".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.