Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Малыш Chihuahua Stealer знаком с творчеством рэпера из Воронежа (http://txgate.io:443/showthread.php?t=51297314)

WWW 05-26-2025 12:03 PM
<div id="post_message_791430">

Объявившийся в прошлом месяце облегченный Windows-стилер распространяется через вредоносные документы Google Drive, при открытии которых запускается обфусцированный скрипт PowerShell — загрузчик.<br/>
<br/>
Проведенный в G DATA анализ <a href="https://www.gdatasoftware.com/blog/2025/05/38199-chihuahua-infostealer" target="_blank">показал</a>, что новобранец Chihuahua создан на основе .NET, имеет модульную архитектуру и умело уклоняется от обнаружения.<br/>
<br/>
Цепочку заражения запускает небольшой лаунчер, выполняющий Base64-строку с помощью командлета PowerShell. Это позволяет обойти политики запуска скриптов и незаметно внедрить runtime-логику в закодированную полезную нагрузку.<br/>
<br/>
После декодирования скрипт второй ступени преобразует тяжелый обфусцированный пейлоад — удаляет кастомные разделители и заменяет шестнадцатеричные символы ASCII, динамически воссоздавая сценарий третьей ступени. Подобный трюк призван воспрепятствовать детектированию средствами статического анализа и песочницы.<br/>
<br/>
Деобфусцированный скрипт создает запланированное задание на ежеминутный запуск проверки папки «Недавние места» на наличие маркеров инфицирования (файлов .normaldaki). При положительном результате происходит соединение с C2 для получения дальнейших инструкций.<br/>
<br/>
На последней стадии заражения на машину жертвы скачиваются NET-сборка и финальный пейлоад — Chihuahua Stealer (VirusTotal — <a href="https://www.virustotal.com/gui/file/c9bc4fdc899e4d82da9dd1f7a08b57ac62fc104f93f2597615 b626725e12cae8" target="_blank">52/72</a> на 14 мая), который расшифровывается и грузится в память для выполнения.<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://dl4.joxi.net/drive/2025/05/14/0048/3474/3202450/50/759b2cfead.jpg"/><br/>
<br/>
Примечательно, что при запуске вредонос вначале печатает в консоли текст песни из репертуара Джона Гарика — классический образец российского трэпа в транслите. Как оказалось, за это отвечает функция DedMaxim().<br/>
<br/>
<img alt="" border="0" class="bbCodeImage" src="https://dl4.joxi.net/drive/2025/05/14/0048/3474/3202450/50/a35ca280d5.jpg"/><br/>
<br/>
После столь необычной прелюдии инфостилер приступает к выполнению основных задач:<ul><li>дактилоскопируе� � зараженную машину (использует WMI для получения имени компьютера и серийного номера диска);</li>
</ul><ul><li>крадет данные из браузеров и расширений-криптокошельков, которые находит по списку известных ID;</li>
</ul><ul><li>пакует собранную информацию в ZIP-файл с расширением .chihuahua, шифруя его по AES-GCM с помощью Windows CNG API;</li>
</ul><ul><li>отправляет добычу на свой сервер по HTTPS.</li>
</ul>Завершив работу, зловред тщательно стирает следы своей деятельности — используя стандартные команды, удаляет созданные запланированное задание, временные файлы и консольный вывод.<br/>
<br/>
<a href="https://www.anti-malware.ru/news/2025-05-14-114534/46038" target="_blank">@ Anti-Malware </a>
</div>


All times are GMT. The time now is 09:09 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.