Если у вас есть крипта — Hannibal уже рядом: стилер ворует адреса прямо из буфера, оставаясь незамеченным

В киберпространстве появился новый игрок, умеющий скрываться почти как настоящий Ганнибал Лектер. Исследователи выявили вредоносное ПО под названием Hannibal Stealer — модульный инфостилер на платформе .NET, ориентированный на массовое извлечение чувствительной информации и при этом обладающий целым арсеналом средств для сокрытия своей активности.

Особенность этого вредоноса — не просто кража данных, а использование продвинутых методов маскировки, позволяющих ему незаметно обойти даже современные системы обнаружения. Внедрение через DLL-инъекции, динамическая загрузка компонентов и шифрование полезной нагрузки — всё это делает Hannibal Stealer трудной мишенью для аналитиков и антивирусов .

Hannibal активно ищет данные в браузерах на движках Chromium и Gecko, включая Chrome, Edge и Firefox, похищая куки, данные автозаполнения и сохранённые пароли. Для маскировки своей активности он использует файлы с легитимными названиями — например, «CefSharp.BrowserSubprocess.dll», что позволяет ему выглядеть как обычный браузерный компонент.

При анализе были выявлены обращения к системным библиотекам Windows — таким как «bcrypt.dll» для дешифровки зашифрованных участков кода, «iphlpapi.dll» для сетевой разведки и «kernel32.dll» для операций с памятью. Эти вызовы говорят о намерении внедряться в процессы, управлять памятью и маскировать следы.

Шифрование полезной нагрузки реализовано с помощью алгоритма AES-GCM через стандартный Windows Cryptography API. Это означает, что вредоносный код дешифруется только во время выполнения и остаётся скрытым на всех других этапах, включая анализ.

Hannibal Stealer активно охотится за криптовалютными кошельками — такими как Bitcoin Core, Ethereum и Atomic Wallet. Он копирует конфигурационные файлы из пользовательских директорий и передаёт их злоумышленникам. Ещё один тревожный момент — замена адресов в буфере обмена: пользователь копирует кошелёк, чтобы перевести средства, а Hannibal тихо подменяет его на адрес хакеров .

Кроме криптовалюты, вирус интересуется VPN-конфигурациями (включая CyberGhost и NordVPN), логинами от FTP-клиентов (вроде FileZilla), а также пытается собрать MAC-адрес и IP шлюза — данные, которые могут быть использованы для отслеживания или ограничения работы вируса в определённых странах.

К слову, у Hannibal Stealer есть встроенный механизм геофенсинга: он прекращает выполнение, если обнаруживает запуск в странах СНГ. Это распространённая тактика среди разработчиков вредоносов, желающих избежать внимания местных правоохранителей.

Эксплуатация Telegram в качестве канала управления и передачи данных даёт Hannibal преимущество — ему не нужны выделенные сервера, а переписка выглядит как обычный бот. Среди известных адресов передачи данных — «45[.]61[.]141[.]160[:]8001/uploads/atrvw7», что может указывать на сервер хранения украденной информации.

Дополнительную опасность представляют функции создания логов с системной информацией, скриншотов, кражи паролей и содержания кошельков. Всё это оформляется и отправляется в C2-инфраструктуру, в обход стандартных фильтров.

Hannibal не просто крадёт, а делает это незаметно — используя динамическую загрузку API, шифрование и имитацию системных процессов. В результате он почти невидим для сигнатурных детекторов и требует продвинутого поведенческого анализа для обнаружения.

Такие угрозы поднимают необходимость пересмотра подходов к защите: одних антивирусов становится недостаточно. Поведенческий мониторинг, защита конечных устройств и повышение цифровой гигиены пользователей — вот минимальный набор мер, который поможет не стать жертвой таких скрытных атак.