Хакеры используют Avast и Steam для скрытых атак. И вот как это работает

ACRStealer AmateraStealer ProofPoint WoW64 AhnLab вредонос кража данных
Хакеры используют Avast и Steam для скрытых атак. И вот как это работает
ACRStealer AmateraStealer ProofPoint WoW64 AhnLab вредонос кража данных

ACRStealer прячется в тени HTTPS. Даже шифрование не спасает от его жадности.

image

ACRStealer , известный вредоносный инструмент для кражи информации, вновь оказался в центре внимания из-за череды усовершенствований, которые заметно повысили его устойчивость к обнаружению и анализу. За последний год активность этого вредоноса заметно возросла, особенно с начала 2025 года, а последние его версии демонстрируют стремительную адаптацию к новым защитным механизмам.

Изначально специалисты из AhnLab Security Intelligence Center зафиксировали , что ACRStealer применял технику Dead Drop Resolver — необычный способ управления, основанный на использовании легитимных платформ вроде Google Docs и Steam в качестве командных серверов. Эта тактика позволяла злоумышленникам скрывать управляющую инфраструктуру за фасадом легитимного трафика. Однако на этом развитие не остановилось — с каждой итерацией ACRStealer приобретает всё больше сложных приёмов, мешающих обнаружению и мешающих техническому анализу.

Основная задача ACRStealer остаётся неизменной: сбор чувствительной информации с заражённых устройств. Он способен похищать данные из браузеров, криптокошельков, почтовых клиентов, FTP-учётных записей, облачных хранилищ, заметок, менеджеров паролей, баз данных, удалённых доступов и даже из документов различных форматов — от DOC и TXT до PDF. Однако в последних модификациях вредонос также обзавёлся функцией установки дополнительных зловредов, что делает его особенно опасным в составе комплексных атак.

Одним из самых интересных новшеств стало внедрение техники Heaven’s Gate . Она позволяет запускать 64-битный код внутри процессов WoW64, предназначенных для 32-битных приложений. Это значительно затрудняет статический и динамический анализ, а также подрывает работу сигнатурных антивирусных решений, так как искажает привычные потоки исполнения кода.

В отличие от большинства аналогичных программ, которые полагаются на стандартные сетевые библиотеки вроде WinHTTP или Winsock, новая версия ACRStealer напрямую взаимодействует с системным драйвером AFD, используя функции низкоуровневого уровня NTAPI — такие как NtCreateFile и NtDeviceIoControlFile. Это позволяет ему вручную формировать структуры HTTP-запросов и полностью обходить мониторинг на уровне библиотек, включая перехват и подмену вызовов. Такая архитектура вдохновлена проектом с открытым исходным кодом NTSockets, что обеспечивает высокий уровень невидимости в ходе сетевого взаимодействия.

Чтобы ещё больше усложнить анализ, авторы ACRStealer стали внедрять в заголовки HTTP-запросов фальшивые домены, подставляя вместо настоящих IP-адресов имена вроде microsoft.com, avast.com, google.com и даже pentagon.com. Подобная маскировка сбивает с толку системы анализа, включая такие популярные сервисы, как VirusTotal, которые в отчётах могут отобразить только подставной домен, а не настоящий вредоносный узел — например, IP 85.208.139.75.

С точки зрения конфигурации, шифрование остаётся прежним: сначала данные кодируются в Base64, затем — шифруются RC4-алгоритмом с фиксированным ключом «852149723\x00». Передача данных с командным сервером осуществляется через HTTP или HTTPS, что позволяет атакующим подстраиваться под инфраструктуру жертвы. В новых версиях появилась поддержка самоподписанных TLS-сертификатов, что избавляет злоумышленников от зависимости от облачных платформ и упрощает подмену доменов.

Дополнительно внедрён более защищённый протокол обмена данными, где нагрузка шифруется с использованием алгоритма AES-256 в режиме CBC с жёстко заданным ключом и инициализационным вектором. Такие зашифрованные данные сопровождаются префиксом «enc_» в URL, что позволяет вредоносу отличать старые версии серверов от новых.

ACRStealer также отказался от фиксированных путей, заменив их на динамически выдаваемые случайные строки, получаемые в ходе начального рукопожатия с C2-сервером. Конфигурационные запросы теперь отправляются методом POST, а не GET, и содержат структуру JSON. Эта мера снижает эффективность анализа, основанного на шаблонах трафика, и повышает устойчивость к блокировкам.

Распространение новых модификаций ACRStealer подчёркивает всё более изощрённый характер киберугроз, где каждая новая версия вредоноса — это шаг к ещё более глубокому внедрению и незаметной краже данных.