Обычное фото? Скорее портал в ад. Katz Stealer маскируется лучше, чем баги перед релизом

На фоне нарастающей конкуренции среди киберпреступников в сфере похищения конфиденциальных данных, в 2025 году на арену вышел новый игрок — Katz Stealer. Это вредоносное программное обеспечение класса MaaS (Malware-as-a-Service), предлагающее функциональность, сравнимую с полноценными кибершпионскими платформами, теперь доступное любому желающему — за определённую сумму.

Katz Stealer демонстрирует комплексный и изощрённый подход к краже данных, сочетающий мгновенную фильтрацию важной информации с глубокой системой маскировки и эволюционной архитектурой загрузки вредоносных компонентов. Он распространяется преимущественно через фишинговые письма и поддельные инсталляторы программ, но этим его изобретательность не ограничивается.

После активации заражение разворачивается в несколько фаз, каждая из которых настроена на обход классических антивирусных решений. Всё начинается с архивов GZIP, содержащих JavaScript-дропперы, замаскированные с помощью типовых уловок вроде приведения типов и полиморфного объединения строк. Скрипт незаметно вызывает PowerShell, чтобы загрузить с Archive.org якобы обычное изображение. На деле в нём скрыт вредоносный код, закодированный в base64 и внедрённый с использованием стеганографии.

Согласно отчёту Picus Security, на следующем этапе загружается .NET-загрузчик, выполняющий геофенсинг и проверки виртуальных сред, чтобы исключить запуск в песочницах и аналитических средах. После этого запускается обход контроля учётных записей (UAC) через «cmstp.exe», что позволяет вредоносному коду получить повышенные привилегии в системе.

Финальная полезная нагрузка внедряется в системные процессы, такие как «MSBuild.exe», методом Process Hollowing — это гарантирует маскировку на фоне легитимных процессов. Одновременно устанавливается канал связи с управляющим сервером (C2), зафиксированным на IP-адресе 185.107.74[.]40.

На этом этапе Katz Stealer разворачивает полноценную шпионскую деятельность. Он не просто извлекает логины из браузеров — он расшифровывает мастер-ключи из «Local State» в Chromium и выуживает сессии из профилей Firefox. В арсенале цели — 78 различных браузеров, включая редкие клоны популярных движков.

Особое внимание уделено криптокошелькам . Katz Stealer активно ищет десктопные клиенты, например Exodus, а также браузерные расширения, включая MetaMask. Все найденные активы немедленно подготавливаются к отправке через TCP или HTTPS, причём отправки сопровождаются нестандартным HTTP-заголовком User-Agent: katz-ontop, что делает этот трафик отличительной меткой для сетевых систем обнаружения.

Не останавливаясь на этом, программа внедряет вредоносный код прямо в JS-бандлы мессенджера Discord, превращая его в инструмент для получения удалённых команд. Discord при следующем запуске начинает функционировать как точка входа для дальнейших атак, благодаря поведению автостарта.

Чтобы затруднить анализ, Katz Stealer по завершении вычищает все временные файлы. Его архитектура MaaS делает возможным сборку индивидуальных экземпляров прямо через удобную веб-панель. Это открывает дорогу киберпреступникам без глубоких технических знаний: выбор компонентов, настройка цели, экспорт украденных данных — всё доступно в пару кликов.

Совокупность таких возможностей делает Katz Stealer не просто очередным вредоносом, а серьёзной угрозой, требующей не только усиленного мониторинга, но и переосмысления подходов к защите конечных точек и сетевой инфраструктуры.