Ваш плеер VLC теперь работает на хакеров. Это не шутка, а новая тактика HoneyMyte

Хакерская группа, известная под названием HoneyMyte, продолжает масштабную кибершпионскую деятельность, направленную преимущественно против государственных структур в странах Юго-Восточной Азии. В числе жертв оказались также организации в Монголии, России и других странах. Специалисты «Лаборатории Касперского» зафиксировали, что в недавних операциях злоумышленники применили обновлённую версию вредоносной программы CoolClient, а также внедрили новые инструменты для кражи данных из браузеров и документов.

CoolClient, впервые замеченный ещё в 2022 году, за последние годы претерпел значительные изменения. Программа получила новые возможности, включая сбор системной информации, перехват нажатий клавиш, туннелирование трафика, удалённое выполнение модулей и слежение за содержимым буфера обмена. Помимо этого, внедрены механизмы для кражи учётных данных из HTTP-прокси и новых форматов конфигурационных файлов. Все эти функции позволяют злоумышленникам глубоко отслеживать действия пользователя и управлять системой без ведома владельца.

Для запуска CoolClient активно используется метод подмены DLL-библиотек, при котором вредоносная библиотека загружается через легитимное подписанное приложение. Среди используемых программ — продукты BitDefender, VLC, Ulead PhotoImpact и решения компании Sangfor. Именно с помощью приложений Sangfor запускается последняя зафиксированная версия CoolClient.

Особое внимание заслуживает механизм слежки за буфером обмена и активными окнами. CoolClient фиксирует содержимое буфера, заголовки окон и временные метки, после чего шифрует данные и сохраняет их в отдельный файл на жёстком диске. Такая функция позволяет следить за действиями пользователя в реальном времени, включая копируемые данные и активные приложения.

Дополнительно в арсенал злоумышленников вошла новая серия программ, предназначенных для кражи сохранённых данных входа из браузеров Chrome, Edge и других на базе Chromium. Выявлено как минимум три варианта: одни из них запускаются напрямую, другие используют DLL-загрузку.

Отличительной чертой является то, что в некоторых версиях реализована возможность обработки путей к данным в момент выполнения, что позволяет гибко адаптировать вредонос под разные браузеры и конфигурации.

Также обнаружено использование PowerShell- и BAT-скриптов, которые автоматизируют сбор системной информации, поиск документов, упаковку данных и их загрузку на внешние ресурсы, включая FTP-серверы и публичные хранилища, такие как Pixeldrain. Скрипты умеют отключать браузеры, сжимать целые каталоги, извлекать конфигурационные файлы популярных программ и передавать их злоумышленникам.

По данным анализа, активность связана с группой LuminousMoth, ранее также ассоциировавшейся с HoneyMyte. Программы обеих групп имеют схожий код, используют одинаковые подходы к краже данных и сохраняют временные файлы с одними и теми же именами.

Таким образом, HoneyMyte демонстрирует не только устойчивую активность, но и технологическую эволюцию, направленную на расширение возможностей слежки и кражи информации. Актуальные версии их инструментов позволяют не просто получить доступ к конфиденциальным документам, но и установить постоянное наблюдение за действиями пользователей внутри заражённых систем.