MicroStealer — сложный информационный стиллер, впервые замеченный в декабре 2022 года, который быстро привлёк внимание специалистов по кибербезопасности. Отчёты указывают на многоступенчатую цепочку доставки и продвинутые приёмы уклонения от детекции, что делает его серьёзной угрозой для организаций, особенно в секторах образования и телекоммуникаций.
Краткое описание угрозы
«Основными целями вредоносного ПО являются учетные данные браузера и конфиденциальные данные сеанса.»
MicroStealer ориентируется на кражу данных из браузеров и приложений для криптовалютных кошельков, похищает cookie и токены сессий, делает скриншоты и отправляет собранную информацию на серверы злоумышленников, включая каналы на Discord. Для извлечения учётных данных он использует комбинацию техник, в том числе внедрение JS в веб-страницы и взаимодействие с локальными защитными механизмами Windows.
Механизм доставки и развёртывания
- Начальная стадия: установщик на базе NSIS (RocobeSetup) распаковывает и запускает вредоносный JAR-файл в фоновом режиме, что затрудняет обнаружение на этапе установки.
- Промежуточный уровень: использование Electron в роли загрузчика для дополнительного запутывания и обхода статического анализа.
- Персистентность: сохранение через планировщик задач Windows для автоматического запуска при входе пользователя в систему.
- Попытки повышения привилегий: социальная инженерия для получения подтверждения UAC.
- Антианализ: проверка entorno (в частности виртуальных машин) и остановка исполнения при обнаружении VM-сред.
Цели и методы кражи данных
MicroStealer атакует как браузеры на базе Chromium, так и альтернативные браузеры (Opera, Opera GX), а также приложения кошельков для криптовалют. Среди используемых техник:
- Доступ к сохранённым секретам с использованием Windows DPAPI для расшифровки защищённых данных.
- Взаимодействие с LSASS для захвата токенов безопасности в случае отключённых средств защиты.
- Кража cookie и эксплуатация действительных сессий для скрытой работы от имени жертвы.
- Внедрение JavaScript для перехвата учётных данных в браузере и в DApps.
- Профилирование активности на платформах типа Discord и Steam для выбора приоритетных целей.
- Сбор скриншотов и иных данных рабочего стола для последующей эксфильтрации.
Тактики уклонения и защита от анализа
Многоуровневая архитектура MicroStealer, сочетание NSIS + JAR + Electron, а также фоновой запуск и проверки окружения призваны снизить эффективность статического и динамического анализа. Использование легитимных сессий и cookie позволяет вредоносу действовать незаметно для пользователя и ряда инструментов мониторинга.
Кому угрожает
- Образовательные учреждения и телеком-операторы — отмечены как первоочередные цели в первоначальных расследованиях.
- Пользователи, хранящие криптовалюту в приложениях/расширениях кошельков.
- Организации с недостаточно защищёнными эндпоинтами и отсутствием EDR/дефенсов, отслеживающих необычные обращения к LSASS/DPAPI.
Рекомендации по обнаружению и реагированию
Учитывая сложность поведения MicroStealer, ключ к минимизации ущерба — раннее обнаружение и быстрая реакция. Рекомендуемые меры:
- Наладить мониторинг и жесткую фильтрацию установщиков NSIS и запусков JAR в корпоративной среде.
- Отслеживать создание и изменение задач в Task Scheduler, особенно привязанных к пользовательским сессиям.
- Внедрить EDR/NGAV с детекцией попыток доступа к LSASS и аномальных обращений к DPAPI, а также мониторинг инъекций и внедрения JS в браузерные процессы.
- Ограничить привилегии: минимизировать права пользователей, запретить ненужный доступ к чувствительным хранилищам и процессам.
- Активировать и проверять целостность механизмов защиты (чтобы снизить риск захвата токенов через LSASS).
- Внедрить многофакторную аутентификацию и политики управления cookie/сессиями для критичных сервисов.
- Мониторить трафик на предмет связи с C2-инфраструктурой и нестандартной эксфильтрации (включая использование Discord как канала передачи).
- Организовать процессы быстрого реагирования и инцидент-репондинга: изоляция, форензика и очистка Scheduled Tasks/авторунов.
Вывод
MicroStealer демонстрирует, что современным стиллерам по силам сочетать несколько легитимно выглядящих технологий для сокрытия вредоносной деятельности и повышения успешности атак. Его возможности по краже cookie, токенов и учётных данных, а также ориентирование на криптовалютные кошельки и платформы вроде Discord делают его опасным инструментом киберпреступников. Для защиты организаций необходимы многоуровневые меры: предотвращение проникновения, раннее обнаружение аномалий и отлаженные процедуры реагирования.
Если ваша организация работает в особо затронутых секторах (образование, телеком), имеет смысл провести специализированное расследование и тестирование на предмет наличия следов активности MicroStealer.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "MicroStealer: многоуровневый стиллер с NSIS, Java и DPAPI".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.