От Telegram-бота до криминальной империи за 90 дней. Как вырастить инфостилер с 40 операторами и сотнями жертв
NewsMakerХакеры создали новый вредонос с нуля — и исследователи наблюдали каждый день его эволюции.
В образце вредоносного ПО , который сначала приняли за известный инфостилер Vidar, обнаружили совсем другую историю. За подменой скрывался новый инструмент кражи данных, получивший название Torg Grabber. За 3 месяца исследователи собрали 334 образца и проследили, как примитивная заготовка быстро превратилась в полноценный криминальный сервис с собственной инфраструктурой, панелью управления и десятками операторов.
Первое, что насторожило аналитиков, — несоответствие базовым признакам. Бинарный файл весил около 747 килобайт, был собран как 64-битный исполняемый модуль с помощью MinGW/GCC и использовал другой протокол управления. У Vidar структура и инструменты иные. Внутри обнаружился отладочный маркер grabber v1.0, а сетевое взаимодействие строилось через REST API с шифрованием ChaCha20 и аутентификацией HMAC-SHA256. Сравнение с другими стилерами вроде StealC также не дало совпадений. В итоге стало ясно: речь идет о новой разработке.
Эволюция Torg Grabber зафиксирована почти покадрово. На раннем этапе вредоносная программа действовала максимально просто. Данные собирались, архивировались в ZIP и отправлялись в закрытые каналы Telegram через Bot API. Шифрования поверх стандартного TLS не было, а при сбое загрузки программа могла отправить информацию в открытом виде текстовым сообщением. Такая схема требовала минимальных затрат, но легко обнаруживалась и быстро блокировалась.
Через несколько дней разработчики попробовали другой подход — собственный бинарный протокол поверх TCP. Программа открывала соединение с удаленным сервером и передавала данные в зашифрованном виде с использованием ChaCha20-Poly1305. Пакеты разбивались на блоки по 64 килобайта, добавлялась проверка целостности через SHA-256. Решение выглядело технически аккуратно, но оказалось слишком сложным для масштабирования. От идеи отказались уже после 4 сборок.
В образце вредоносного ПО , который сначала приняли за известный инфостилер Vidar, обнаружили совсем другую историю. За подменой скрывался новый инструмент кражи данных, получивший название Torg Grabber. За 3 месяца исследователи собрали 334 образца и проследили, как примитивная заготовка быстро превратилась в полноценный криминальный сервис с собственной инфраструктурой, панелью управления и десятками операторов.
Первое, что насторожило аналитиков, — несоответствие базовым признакам. Бинарный файл весил около 747 килобайт, был собран как 64-битный исполняемый модуль с помощью MinGW/GCC и использовал другой протокол управления. У Vidar структура и инструменты иные. Внутри обнаружился отладочный маркер grabber v1.0, а сетевое взаимодействие строилось через REST API с шифрованием ChaCha20 и аутентификацией HMAC-SHA256. Сравнение с другими стилерами вроде StealC также не дало совпадений. В итоге стало ясно: речь идет о новой разработке.
Эволюция Torg Grabber зафиксирована почти покадрово. На раннем этапе вредоносная программа действовала максимально просто. Данные собирались, архивировались в ZIP и отправлялись в закрытые каналы Telegram через Bot API. Шифрования поверх стандартного TLS не было, а при сбое загрузки программа могла отправить информацию в открытом виде текстовым сообщением. Такая схема требовала минимальных затрат, но легко обнаруживалась и быстро блокировалась.
Через несколько дней разработчики попробовали другой подход — собственный бинарный протокол поверх TCP. Программа открывала соединение с удаленным сервером и передавала данные в зашифрованном виде с использованием ChaCha20-Poly1305. Пакеты разбивались на блоки по 64 килобайта, добавлялась проверка целостности через SHA-256. Решение выглядело технически аккуратно, но оказалось слишком сложным для масштабирования. От идеи отказались уже после 4 сборок.