Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

LTX Stealer: уклонение и кража учётных данных через Inno Setup

3 мин
Появившийся отчёт описывает изощрённое вредоносное ПО под названием LTX Stealer, которое предназначено для кражи учётных данных и демонстрирует всё более распространённую тактику злоумышленников — сокрытие вредоносной полезной нагрузки внутри легитимных программных фреймворков и сред выполнения. LTX Stealer — это вредоносное ПО для Windows, доставляемое через инсталлятор Inno Setup. Вредоносный пакет содержит полную среду выполнения Node.js, что позволяет запускать вредоносные скрипты в «доверенной» среде и маскировать вредоносную активность. Сам исполняемый файл упакован под именем Negro.exe, при этом в его встроенных метаданных прямо указана связь с LTX Stealer, что вызывает вопросы о его происхождении и намерениях автора. Ключевые технические особенности LTX Stealer, отмеченные в отчёте: Самый ранний известный образец LTX Stealer был загружен на платформу с открытым исходным кодом 10 января 2026 года. Отчёт указывает, что разработчик подчёркивал нулевое обнаружение антивирусами как
Оглавление

Появившийся отчёт описывает изощрённое вредоносное ПО под названием LTX Stealer, которое предназначено для кражи учётных данных и демонстрирует всё более распространённую тактику злоумышленников — сокрытие вредоносной полезной нагрузки внутри легитимных программных фреймворков и сред выполнения.

Краткое изложение инцидента

LTX Stealer — это вредоносное ПО для Windows, доставляемое через инсталлятор Inno Setup. Вредоносный пакет содержит полную среду выполнения Node.js, что позволяет запускать вредоносные скрипты в «доверенной» среде и маскировать вредоносную активность. Сам исполняемый файл упакован под именем Negro.exe, при этом в его встроенных метаданных прямо указана связь с LTX Stealer, что вызывает вопросы о его происхождении и намерениях автора.

Технологии и тактики

Ключевые технические особенности LTX Stealer, отмеченные в отчёте:

  • Запрос прав администратора при запуске, позволяющий выполнять привилегированные и деструктивные операции;
  • Запись основной полезной нагрузки в каталоги, имитирующие легитимные компоненты Microsoft, для затруднения обнаружения;
  • Использование полной среды выполнения Node.js внутри пакета, что даёт возможность запускать JavaScript-код в штатной среде;
  • Методы обфускации: расшифровка во время выполнения и компиляция байт-кода JavaScript, усложняющие реверс-инжиниринг;
  • Упаковка установщика с помощью Inno Setup, что затрудняет статический анализ и извлечение полезной нагрузки.

Распространение и мотивация разработчика

Самый ранний известный образец LTX Stealer был загружен на платформу с открытым исходным кодом 10 января 2026 года. Отчёт указывает, что разработчик подчёркивал нулевое обнаружение антивирусами как демонстрацию возможностей уклонения. Это свидетельствует о целенаправленном подходе к разработке вредоносного ПО с акцентом на обход систем защиты.

«Использование runtime-обфускации и компиляции JavaScript-байт-кода подчёркивает преднамеренное намерение скрыть вредоносные действия и затруднить обратную разработку», — отмечает отчёт.

Индикаторы компрометации и средства детекции

Для обнаружения связанных с LTX Stealer компрометаций в отчёте приведено правило YARA, которое идентифицирует характерные сигнатуры исполняемых файлов и сетевых доменов, используемых инфраструктурой. Среди ключевых индикаторов, на которые стоит обратить внимание:

  • Исполняемый файл с именем Negro.exe и соответствующие метаданные;
  • Наличие встроенной среды Node.js в инсталляторе;
  • Использование инсталляторов Inno Setup для доставки вредоносной нагрузки;
  • Признаки runtime-обфускации и компиляции JavaScript-байт-кода;
  • Сетевые домены и артефакты, сопутствующие инфраструктуре (описаны в YARA-правиле).

Рекомендации по снижению риска

На фоне выявленных техник и методов эксперты рекомендуют следующие практики защиты:

  • Ограничивать привилегии: применять принцип наименьших прав для учётных записей и процессов;
  • Контролировать установщики: внедрять проверку целостности и белые списки для инсталляторов (Inno Setup и др.);
  • Мониторинг среды выполнения: отслеживать необычную активность процессов Node.js в окружениях, где их не ожидают;
  • Анализ и защита артефактов: использовать YARA-правила и поведенческий анализ для выявления обфусцированных или саморазворачивающихся приложений;
  • Постоянный мониторинг и обмен индикаторами: оперативно распространять сведения об обнаруженных сигнатурах и доменах.

Значение для отрасли

LTX Stealer иллюстрирует тенденцию, когда злоумышленники используют легитимные платформы и среды выполнения для маскировки вредоносной активности, что усложняет задачу детекции традиционными средствами. Комбинация привилегий на целевой машине, имитации легитимных компонентов и продвинутых методов обфускации делает такие семейства вредоносного ПО высокоэффективными в реальных атаках.

Организациям следует рассматривать LTX Stealer как напоминание о необходимости многоуровневой защиты: технических средств, процессов и оперативного обмена информацией об угрозах.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "LTX Stealer: уклонение и кража учётных данных через Inno Setup".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.

Кибербезопасность
25,6 тыс интересуются