StealC научился воровать на 64-битных системах, отправлять скриншоты в Telegram и самоудаляться без следов — уязвим каждый
Новые трюки этого вредоноса заставят вас пересмотреть свою безопасность.
Популярное вредоносное ПО StealC, активно применяемое в кибератаках для кражи данных и загрузки других вредоносных компонентов, получило крупное обновление. Вторая версия этого инструмента была замечена на подпольных форумах ещё в марте 2025 года, но только сейчас специалисты компании Zscaler опубликовали подробный анализ новой модификации.
С момента релиза новая версия претерпела несколько небольших обновлений, включая исправления и добавление новых функций. Последней актуальной версией стала 2.2.4.
StealC представляет собой лёгкий и гибкий инструмент для кражи информации, который появился на теневых рынках в начале 2023 года. Тогда доступ к нему продавался за 200 долларов в месяц. Позднее в 2024 году вредонос был замечен в крупных рекламных кампаниях с вредоносными ссылками и атаках, блокирующих системы в режиме киоска.
Поддержка StealC не ослабевала — в конце прошлого года его разработчики реализовали обход защиты Chrome под названием App-Bound Encryption. Это позволило злоумышленникам восстанавливать устаревшие cookies и перехватывать сессии пользователей Google-аккаунтов, что значительно усилило угрозу.
С выходом второй версии функциональность StealC была существенно расширена. В частности, обновлён механизм доставки вредоносного кода: теперь он поддерживает выполнение EXE-файлов, установочных MSI-пакетов и PowerShell-скриптов. Можно настраивать триггеры для запуска каждого из них. В коммуникациях с командным сервером появилась RC4-шифрация, а также внедрены случайные параметры в ответах для затруднения обнаружения.
Улучшения коснулись и архитектуры — появилась поддержка 64-битных систем, функции API теперь определяются во время выполнения, а также добавлен механизм самоуничтожения. Вредонос также получил встроенный генератор шаблонов, позволяющий оператору создавать собственные сборки с индивидуальными правилами кражи данных. Ещё одна новинка — возможность получать оповещения в Telegram, а также съёмка скриншотов рабочего стола, включая поддержку нескольких мониторов.
Однако с добавлением новых функций часть прежнего функционала была удалена. Так, из кода исчезли проверки на виртуальные машины и загрузка DLL-библиотек. Причиной может быть как попытка упростить вредонос, так и временное исключение в процессе переработки кода.
В ходе последних атак, зафиксированных Zscaler, StealC распространялся через другой загрузчик — Amadey, однако это не исключает вариативности применения других схем доставки и инструментов.