Silent Stealer v2.6.5: MaaS-стиллер крадет данные Discord и Steam

Вредоносное ПО, идентифицированное как Illusion-2.6.5-setup.exe, оказалось развертыванием Silent Stealer v2.6.5 — представителя модели MaaS (Malware as a Service), распространяемого по подписке. По данным анализа, злоумышленник под именем ShinySpider распространяет его через Telegram, а основной задачей вредоноса является кража широкого спектра конфиденциальных данных пользователей.

Что именно крадет Illusion

Функциональность вредоносного ПО ориентирована на сбор наиболее ценной информации, включая:

• учетные данные браузеров;
• files cookie;
• платежные данные;
• кошельки криптовалют;
• сеансы для платформ, таких как Discord и Steam;
• токены Discord;
• данные из Roblox и TikTok.

Особое внимание разработчики Illusion уделили игровым и социальным платформам. Такая специализация может указывать не только на финансовую мотивацию, но и на интерес к учетным данным, связанным с популярными онлайн-сервисами и игровыми экосистемами.

Как работает вредоносное ПО

Illusion маскируется под приложение на базе Electron и использует собственный установщик, скрывающий его истинную природу. Кроме того, вредоносное ПО интегрирует несколько механизмов закрепления и применяет различные методы обхода UAC (User Account Control) для получения повышенных привилегий.

Отдельно отмечается его устойчивая архитектура: Illusion поддерживает постоянные соединения с инфраструктурой управления C2, что позволяет злоумышленникам в реальном времени контролировать зараженные системы.

Через C2 доступны следующие возможности:

• удаленный доступ к файловой системе;
• выполнение команд PowerShell;
• захват скриншотов рабочего стола жертвы;
• оперативная передача похищенных данных.

Экфильтрация и техническая реализация

Процесс эксфильтрации данных организован через тщательно разработанные вызовы API, использующие конечные точки для передачи информации на сервер Discord злоумышленника и другие связанные платформы.

Архитектура вредоносного ПО также использует передовые техники обфускации. В частности, применяются:

• разделение чувствительных строк на несколько литералов;
• использование зашифрованных полезных нагрузок;
• скрытие ключевых компонентов от статического анализа.

По сути, Illusion объединяет в себе не только компонент-стиллер, но и троянскую программу удаленного доступа (RAT), предоставляя злоумышленникам расширенный контроль над зараженными устройствами.

Проблемы операционной безопасности

Анализ выявил серьезные недостатки в операционной безопасности. Наиболее примечательная из них — открытая панель оператора, доступ к которой возможен без аутентификации. Это создает условия для:

• анализа всех возможностей вредоносного ПО;
• картирования инфраструктуры C2;
• изучения механизмов доставки и эксфильтрации данных.

Такой уровень доступности внутренней панели значительно упрощает исследование инфраструктуры угроз, а также может способствовать обнаружению уязвимых мест в самой экосистеме управления.

Закрепление на системе

Для устойчивого закрепления Illusion использует сразу несколько механизмов. Среди них:

• создание запланированных задач;
• использование Windows Management Instrumentation (WMI) для повторного запуска;
• автоматический рестарт даже после перезагрузки системы.

Такая комбинация методов повышает живучесть вредоноса и затрудняет его удаление стандартными средствами.

Связь с ShinyHunters: осторожная оценка

На основе собранных операционных данных связь с группой ShinyHunters остается спекулятивной и носит преимущественно контекстный, а не технический характер. Иными словами, прямых доказательств причастности не зафиксировано, однако отдельные признаки вызывают интерес у исследователей угроз.

Такая характеристика позволяет специалистам по кибербезопасности взвешенно оценивать ландшафт угроз при разработке стратегий обнаружения и смягчения последствий.

Вывод

Результаты анализа Illusion-2.6.5 демонстрируют эволюционирующую угрозу, исходящую от MaaS, особенно в части интеграции с популярными социальными и игровыми платформами. Комбинация стиллера и RAT, устойчивых механизмов закрепления, постоянного C2-контроля и сложной обфускации делает этот инструмент опасным и технологически зрелым.

Для специалистов по кибербезопасности этот случай служит еще одним подтверждением того, что современные вредоносные экосистемы все чаще строятся вокруг сервисной модели, масштабируемой инфраструктуры и точечного интереса к данным, имеющим как финансовую, так и эксплуатационную ценность.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Silent Stealer v2.6.5: MaaS-стиллер крадет данные Discord и Steam".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.