StealC и Amadey: как инфостилеры и loader стали устойчивой угрозой для корпоративных сетей
Инфостилеры продолжают оставаться одним из самых опасных инструментов в экосистеме киберкриминала. По данным отчета, особую угрозу представляют StealC и механизмы доставки, включая Amadey: они эффективно собирают конфиденциальные данные, такие как пароли, cookies и session tokens, а затем позволяют злоумышленникам использовать их для дальнейшего проникновения в корпоративную инфраструктуру.
Отдельная опасность этих угроз заключается в том, что после компрометации личных устройств злоумышленники могут получить доступ и к рабочим средам. Если похищенные учетные данные попадают в их распоряжение, это способно обойти даже такие средства защиты, как MFA.
StealC: MaaS-модель и централизованное управление
StealC работает по модели MaaS (malware-as-a-service), что делает его удобным инструментом для широкого круга киберпреступников. В рамках этой схемы операторы могут создавать адаптированные payloads и управлять похищенными данными через централизованную web-панель.
Функциональность StealC охватывает кражу учетных данных из различных источников, включая:
- web browsers;
- cryptocurrency wallets;
- email clients;
- messengers;
- gaming platforms.
Модульный подход позволяет использовать одно первоначальное заражение для дальнейшей эскалации сразу в несколько угроз. Кроме того, ВПО демонстрирует высокую сложность и применяет техники внедрения payloads в legit processes, чтобы повысить скрытность и затруднить обнаружение.
Amadey: loader, который расширяет атаку
Amadey дополняет StealC, выступая в роли loader, который доставляет различные типы ВПО, включая сам StealC. По данным отчета, Amadey функционирует как минимум с 2018 года и связан с рядом high-profile infections.
Его возможности включают:
- загрузку файлов;
- backdoor communication;
- кражу учетных данных;
- запуск дополнительных payloads по команде C2-инфраструктуры.
Развертывание Amadey часто сопровождается созданием scheduled tasks для persistence. Для связи с C2 он использует HTTP, а трафик шифрует с помощью RC4. Такая схема делает инфраструктуру более устойчивой и усложняет анализ активности.
Как развивается атака
Жизненный цикл атак с применением инфостилеров обычно начинается с методов, ориентированных на поведение пользователей. В отчете отдельно отмечены SEO poisoning и phishing — именно эти техники позволяют злоумышленникам распространять ВПО без сильной зависимости от exploitation software vulnerabilities.
После внедрения инфостилеры извлекают широкий спектр учетных данных и tokenов, а затем экспортируют их на C2 servers в высоко структурированном формате. Это ускоряет дальнейшее использование украденной информации и повышает эффективность всей цепочки атаки.
Почему рынок украденных учетных данных остается прибыльным
Подпольный рынок stolen credentials остается крайне прибыльным. Согласно отчету, logs появляются на dark web platform уже вскоре после извлечения. Их стоимость зависит от ценности данных:
- corporate credentials могут стоить более 100 dollars;
- более распространенные logs продаются всего за 2 dollars.
Такой быстрый цикл монетизации подчеркивает, насколько важно развивать identity protection и detection of breaches. Злоумышленники могут использовать похищенные учетные данные для проникновения в корпоративные сети в течение нескольких дней, а иногда — и в течение нескольких часов.
Техническая сторона: как работает StealC
С технической точки зрения StealC использует ряд сложных механизмов для сбора конфиденциальной информации. В частности, он формирует HTTP POST requests для регистрации в C2, внедряя необходимые данные в encrypted formats.
На практике это означает использование техник сбора учетных записей из web browsers с применением injection methods, которые обходят встроенные меры безопасности. Такой подход делает StealC особенно опасным в средах, где пользователи активно работают с браузерами, почтой и другими сервисами, содержащими чувствительные данные.
Модульность Amadey и скрытность операций
Архитектура Amadey позволяет ему модульно расширять свои возможности за счет загрузки дополнительных plugins — например, для кражи учетных данных или содержимого clipboard. Все это происходит по команде инфраструктуры C2.
Кроме того, ВПО стратегически опрашивает системный registry на наличие конфигураций, определяющих его поведение. Такой механизм помогает ему поддерживать гибкий и скрытный профиль, адаптирующийся к среде host.
Вывод: угроза сохраняется
Несмотря на усилия по пресечению подобных операций, включая coordinated takedown инфраструктуры, поддерживавшей StealC и Amadey, угроза сохраняется. Адаптивность этих инструментов и их коммерческая модель обеспечивают устойчивость на киберпреступном рынке.
Как отмечается в отчете, организациям необходимо сохранять бдительность в отношении рисков, связанных с инфостилерами и механизмами их доставки. Ключевыми остаются надежные практики кибербезопасности, способные снизить уровень воздействия и обеспечить эффективное реагирование на инциденты.
«Злоумышленники могут использовать украденные учетные данные для проникновения в корпоративные сети в течение нескольких дней или даже часов».
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "StealC и Amadey: как инфостилеры крадут данные компаний".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.