Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,7 тыс подписчиков

OnyxC2: новый стиллер с кражей учетных данных и обходом защиты

3 мин
OnyxC2 — новый обнаруженный stealer, появившийся в начале 2026 года и ориентированный на масштабный сбор учетных записей. По данным отчета, вредоносный инструмент поставляется как полноценный package с веб-панелью, конструктором payload и многоуровневой моделью подписки стоимостью 250 долларов в месяц. Стиллер нацелен примерно на 210 приложений, включая: Такая функциональность позволяет OnyxC2 собирать значительный объем учетных данных и session materials, что особенно опасно как для частных пользователей, так и для бизнеса. Бинарный файл стиллера разработан на C++ и содержит assembly code для прямого доступа к system calls. Отдельного внимания заслуживает уникальная стратегия мутации, применяемая для каждой сборки. По заявлению авторов и по оценке отчета, она обеспечивает до 99% уклонения от обнаружения антивирусами. Статический анализ образцов подтвердил высокую эффективность уклонения: при первоначальной загрузке на VirusTotal было зафиксировано минимальное количество срабатываний.
Оглавление

OnyxC2 — новый обнаруженный stealer, появившийся в начале 2026 года и ориентированный на масштабный сбор учетных записей. По данным отчета, вредоносный инструмент поставляется как полноценный package с веб-панелью, конструктором payload и многоуровневой моделью подписки стоимостью 250 долларов в месяц.

Широкий охват приложений и данных

Стиллер нацелен примерно на 210 приложений, включая:

  • 37 браузеров на базе Chromium;
  • 8 браузеров на базе Gecko;
  • 95 расширений Chromium;
  • 14 расширений Gecko, из них 6 предназначены для two-factor authentication;
  • 5 password managers;
  • 17 cryptocurrency wallets;
  • а также различные другие приложения, включая FTP clients и email clients.

Такая функциональность позволяет OnyxC2 собирать значительный объем учетных данных и session materials, что особенно опасно как для частных пользователей, так и для бизнеса.

Архитектура и уклонение от обнаружения

Бинарный файл стиллера разработан на C++ и содержит assembly code для прямого доступа к system calls. Отдельного внимания заслуживает уникальная стратегия мутации, применяемая для каждой сборки. По заявлению авторов и по оценке отчета, она обеспечивает до 99% уклонения от обнаружения антивирусами.

Статический анализ образцов подтвердил высокую эффективность уклонения: при первоначальной загрузке на VirusTotal было зафиксировано минимальное количество срабатываний.

Связка со средствами удаленного доступа

OnyxC2 не ограничивается функциями кражи данных. Набор инструментов объединяет стиллер с модулем удаленного доступа, который включает:

  • HVNC (Hidden Virtual Network Computing);
  • LSASS dumping;
  • reverse shell over HTTP.

Это расширяет возможности злоумышленников, позволяя им не только перехватывать учетные данные, но и закрепляться в скомпрометированной системе.

Метод распространения

Распространение OnyxC2 построено на методичном использовании поддельных установщиков. Вредоносное ПО упаковывается в password-protected archives, которые имитируют легальные загрузки программного обеспечения и маскируют вредоносные компоненты.

Внутри архива находится легальное signed application вместе с вредоносной DLL, предназначенной для sideloading при запуске легитимной программы. Эта библиотека, замаскированная под легальную графическую библиотеку NVIDIA, содержит зашифрованный полезный груз. Из-за размера и обманчивой интеграции она затрудняет обнаружение типичными сканерами.

Детальный анализ структуры бинарного файла показывает, что установщику достаточно разместить вредоносную DLL рядом с легитимно подписанным исполняемым файлом, чтобы запустить атаку. Такой подход позволяет избегать традиционных методов эксплуатации.

C2-инфраструктура и подтверждение заражений

Коммуникации с командным центром OnyxC2 (C2) показывают, что каждый бот работает под уникальными токенами. Это подтверждает целостность системы и согласованность между заявленными функциями и реальными заражениями в режиме реального времени.

Чем опасен OnyxC2

Последствия использования OnyxC2 выглядят серьезно. Инструмент позволяет злоумышленникам поддерживать постоянный доступ за счет украденных сеансовых cookies и данных из password managers, фактически сводя на нет стандартные меры восстановления учетных записей.

Общая архитектура OnyxC2 подчеркивает применение продвинутых техник уклонения и data exfiltration. Это вызывает серьезные опасения у пользователей, особенно у тех, кто занимает чувствительные роли в организациях.

Вывод

Главный вывод отчета сводится к необходимости proactive measures против кражи данных и последовательного блокирования попыток exfiltration. В случае с OnyxC2 речь идет не просто о новом стиллере, а о многофункциональной вредоносной платформе, сочетающей кражу учетных данных, удаленный доступ и продвинутые методы сокрытия.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "OnyxC2: новый стиллер с кражей учетных данных и обходом защиты".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.

Гаджеты и электроника
5,73 млн интересуются