Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

DeerStealer: многоступенчатое вредоносное ПО для кражи конфиденциальных данных

8
3 мин
DeerStealer — это сложное вредоносное ПО, специально разработанное для кражи конфиденциальной информации из заражённых систем. Активно продвигаемый на форумах dark-web и через Telegram-каналы, он использует многоуровневые механизмы доставки и устойчивое поведение, чтобы оставаться незамеченным на долгое время и непрерывно добывать данные жертв. DeerStealer обладает заметной широтой возможностей, которые позиционируют его как серьёзную угрозу для отдельных лиц и организаций, поскольку он угрожает скомпрометировать широкий спектр конфиденциальных данных, оставаясь скрытым в течение длительного времени. Доставка вредоноса реализуется через ZIP-архивы, содержащие PE-файлы и сопутствующие компоненты. После распаковки и запуска цепочка установки включает следующие этапы: DeerStealer сочетает несколько приёмов, чтобы противостоять системам безопасности и аналитике: Вредоносное ПО представляет реальную угрозу по нескольким причинам: Практические меры, которые помогут снизить риск инфицирования
Оглавление
Источник: www.cyfirma.com
Источник: www.cyfirma.com

DeerStealer — это сложное вредоносное ПО, специально разработанное для кражи конфиденциальной информации из заражённых систем. Активно продвигаемый на форумах dark-web и через Telegram-каналы, он использует многоуровневые механизмы доставки и устойчивое поведение, чтобы оставаться незамеченным на долгое время и непрерывно добывать данные жертв.

DeerStealer обладает заметной широтой возможностей, которые позиционируют его как серьёзную угрозу для отдельных лиц и организаций, поскольку он угрожает скомпрометировать широкий спектр конфиденциальных данных, оставаясь скрытым в течение длительного времени.

Ключевые характеристики и возможности

  • Целевая задача: сбор личных и финансовых данных, а также иных чувствительных сведений из заражённой системы.
  • Многоэтапная архитектура с маскировкой под легитимное ПО и использованием подписанных исполняемых файлов и легитимных DLL для обхода безопасности.
  • Использование руткит-подобных техник и адаптивной смены серверов управления (C2), что затрудняет обнаружение и блокировку.
  • Наличие механизмов закрепления: создание нескольких записей о запланированных задачах для автоматической активации после перезагрузки.

Механизм распространения и установки

Доставка вредоноса реализуется через ZIP-архивы, содержащие PE-файлы и сопутствующие компоненты. После распаковки и запуска цепочка установки включает следующие этапы:

  1. Запуск доверенного COM-объекта с автоматическим повышением уровня (ICMLuaUtil) через DllHost.exe для старта установщика Reader_en_install.exe, что позволяет обойти запросы контроля учётных записей пользователей (UAC).
  2. Дальнейшее выполнение вспомогательной полезной нагрузки через пользовательское действие, инициируемое msiexec.exe, которая запускает основную вредоносную программу Grid-Electr.exe.
  3. Использование подписанных исполняемых файлов и легитимных библиотек DLL для маскировки и уменьшения подозрительности со стороны средств защиты.

Тактики уклонения и устойчивость

DeerStealer сочетает несколько приёмов, чтобы противостоять системам безопасности и аналитике:

  • Применение легитимных компонентов ОС и подписанных бинарников для снижения уровня подозрений у инструментов безопасности.
  • Смена серверов C2 и фильтрация собранных данных на назначенные адреса, включая домен telluricaphelion.com.
  • Имитация поведения руткита: скрытие процессов и активности от инструментов пользовательского режима и некоторых антивирусных решений.

Почему это опасно

Вредоносное ПО представляет реальную угрозу по нескольким причинам:

  • Широкий диапазон собираемых данных — от личной информации до финансовых реквизитов.
  • Длительное скрытое присутствие в системе, обеспечиваемое механизмами закрепления и руткит-подобной функциональностью.
  • Активное продвижение и доступность через dark-web и Telegram-каналы, что увеличивает число потенциальных атакующих.

Рекомендации по защите

Практические меры, которые помогут снизить риск инфицирования и минимизировать последствия:

  • Ограничьте выполнение вложений ZIP и PE-файлов из непроверенных источников; настройте правила фильтрации почты и мессенджеров.
  • Поддерживайте системы и ПО в актуальном состоянии, включая средства безопасности и OS-патчи.
  • Ограничьте привилегии пользователей: применяйте принцип минимальных прав и контролируйте использование UAC.
  • Внедрите EDR/NGAV с возможностью обнаружения поведенческих шаблонов; отслеживайте подозрительную активность msiexec.exe, DllHost.exe и нестандартные запланированные задачи.
  • Блокируйте домены и IP-адреса, связанные с известными серверами C2, включая telluricaphelion.com, на уровне сети и прокси.
  • Регулярно просматривайте и анализируйте записи запланированных задач и автозапуска; при обнаружении аномалий — изолируйте узел и проведите форензик-расследование.

Заключение

DeerStealer — это эволюционирующая угроза, сочетающая в себе сложную цепочку доставки, техники маскировки и механизмы устойчивого присутствия. Для эффективной защиты необходимы сочетание технических мер (обновления, EDR, блокировка C2), организационных практик (минимальные права, контроль доставки контента) и постоянный мониторинг инфраструктуры. Игнорирование этих рекомендаций повышает риск длительного компрометации и утечек критически важной информации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "DeerStealer: многоступенчатое вредоносное ПО для кражи конфиденциальных данных".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Кибербезопасность
25,6 тыс интересуются