Работает даже при белом списке
Image

MAX. SecurityLab. Белый список. Ваш сисадмин ничего не запретит — и это его будет бесить

Мы пишем про взломы, утечки и катастрофы — и делаем это лучше всех. Скромно, но это правда. Проверьте сами, вам несложно.

В вашем компьютере поселился «Гремлин». Популярный вирус стал слишком умным и научился воровать незаметно

5280
Gremlin Stealer Palo Alto Networks Unit 42 инфостилер
В вашем компьютере поселился «Гремлин». Популярный вирус стал слишком умным и научился воровать незаметно
Gremlin Stealer Palo Alto Networks Unit 42 инфостилер

Обычное сканирование системы в этот раз уже не поможет.

image

Кража паролей и сессионных токенов всё чаще выглядит не как грубая атака, а как аккуратно спрятанный механизм, который старается не шуметь до последнего момента. Новый вариант Gremlin Stealer показывает именно такой подход: вредоносная программа скрывает ключевые части кода внутри ресурсных файлов и усложняет анализ, чтобы защитные системы дольше не замечали угрозу.

Специалисты Unit 42 из Palo Alto Networks изучили свежую версию Gremlin Stealer и обнаружили заметные изменения в тактике авторов. По их данным, программа крадёт данные из браузеров, буфера обмена, локальных хранилищ, криптокошельков, а также FTP- и VPN-клиентов. Среди целей оказались cookie, платёжные данные и токены сессий.

Украденная информация собирается в ZIP-архив, после чего отправляется на сайт злоумышленников. Файл получает имя по публичному IP-адресу жертвы, что помогает операторам Gremlin Stealer быстро сортировать добытые данные. На момент обнаружения новый сайт по адресу hxxp[:]194.87.92[.]109 не получал срабатываний в VirusTotal: ни защитные движки, ни записи в списках блокировки, ни пользовательские отчёты не указывали на вредоносность ресурса.

Главное изменение новой версии связано с маскировкой. Авторы перенесли полезную нагрузку в секцию .NET Resource и закодировали содержимое с помощью XOR. Такой приём скрывает строки, адреса C2-серверов и вызовы API от статического анализа. После расшифровки специалисты нашли жёстко заданные URL для управления и передачи украденных данных.

Gremlin Stealer также получил более сложную схему запуска. Ключевые функции расшифровываются и загружаются в память только по мере необходимости, поэтому простой разбор файла даёт мало полезной информации. Один из изученных образцов дополнительно был защищён коммерческим упаковщиком, который использует виртуализацию инструкций и превращает исходный код в нестандартный байт-код для собственной виртуальной машины.

По сравнению со старыми версиями Gremlin Stealer стал ближе к модульному набору инструментов. Вредоносная программа умеет извлекать токены Discord, следить за буфером обмена и подменять адреса криптокошельков при переводах. Ещё одно значимое изменение связано с перехватом активных браузерных сессий через WebSocket: программа пытается получать данные прямо из запущенного процесса браузера, обходя часть современных механизмов защиты cookie.

Авторы отчёта считают, что Gremlin Stealer перестал быть простым похитителем учётных данных. Новая версия сочетает скрытность, кражу цифровых идентификаторов и прямое вмешательство в финансовые операции, а значит, угроза стала заметно опаснее для пользователей Chromium-браузеров и сервисов, где сессии остаются активными долгое время.