Троян-инфостилер WhiteSnake способен атаковать и Windows, и Linux

Татьяна Никитина 27 Февраля 2023 - 17:30

Домашние пользователи

...

В ИБ-компании Cyble проанализировали образец нового инфостилера для Windows, распространяемого через спам-рассылки. Судя по рекламным объявлениям в даркнете, WhiteSnake существует также в Linux-версии, но ее функциональность пока ограничена.

Новый зловред предоставляется в пользование как услуга (Malware-as-a-Service, MaaS). Первую рекламу сервиса на его основе исследователи обнаружили на хакерских форумах в начале текущего месяца. Наблюдения показали, что вредоносный код обновляется почти каждый день и, видимо, находится в стадии активной разработки.

Судя по анонсу, версия WhiteSnake для Linux по функциям идентична Windows-варианту, но некоторые возможности пока не реализованы, и размер предлагаемого файла заметно меньше — всего 5 Кбайт.

Выявленная атака начинается со спам-письма. Прикрепленный экзешник замаскирован под документ PDF; при его активации в папку временных файлов сбрасывается tmp46D2.tmp.bat и запускается на исполнение.

Этот BAT-файл выполняет PowerShell-скрипт, загружающий из CDN-сети Discord другой BAT-файл (build.bat) — дроппер WhiteSnake. После извлечения и расшифровки вредонос сохраняется в папке %temp% как build.exe.

По свидетельству Cyble, полезная нагрузка build.exe представляет собой 32-битный NET-бинарник с возможностью установки через GUI. Уровень детектирования WhiteSnake на VirusTotal в настоящее время составляет 44 / 69 (результат от 27 февраля).

При исполнении build.exe вначале создает мьютекс, чтобы исключить дублирование запуска, а затем проверяет окружение на наличие виртуальных машин.

Анализ кода подтвердил наличие функций кражи куки-файлов и учетных данных из различных браузеров:

Mozilla Firefox,
Google Chrome,
Brave,
Chromium,
Microsoft Edge.

Вредонос также умеет воровать важные файлы из следующих программ-криптокошельков:

Atomic,
Guarda,
Coinomi,
Bitcoin,
Electrum,
Exodus.

Его также интересуют криптоплагины для браузеров, мессенджеры (Discord, Pidgin, Steam, Telegram), почтовые и FTP-клиенты, а также иной софт — например, Snowflake. Украденные данные вместе с информацией о системе (включает скриншоты) троян в зашифрованном виде (RC4) отсылает телеграм-боту.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 02 Декабря 2025 - 09:26

Android Эксплойты Уязвимости программ Домашние пользователи Корпорации Google

Google устранила в Android уязвимости, уже используемые в реальных атаках

Google опубликовала декабрьский Android Security Bulletin за 2025 год, и он получился одним из самых тревожных за последние месяцы. В списке — критические бреши в Android Framework, активная эксплуатация уязвимостей и десятки проблем в ядре и драйверах чипсетов.

Патчи выходят в двух привычных наборах:

2025-12-01 — фиксы в базовых компонентах Android, включая Framework и System.
2025-12-05 — обновления для ядра, PKVM/IOMMU и патчи для уязвимостей производителей железа.

Пользователям рекомендуют ориентироваться именно на декабрьский набор 2025-12-05, потому что в нём закрыты самые опасные проблемы. В бюллетене Google прямо предупреждает: две уязвимости уже используются в реальных атаках, пусть и точечных:

CVE-2025-48633 — утечка данных в Framework.
CVE-2025-48572 — повышение привилегий в Framework, затрагивает Android 13, 14, 15 и 16.

Обе позволяют злоумышленникам получить несанкционированный доступ или повысить права — классические «ступеньки» в цепочке сложных атак.

Главный риск декабря — критическая уязвимость CVE-2025-48631 в Android Framework. Это возможность удалённого отказа в обслуживании, причём без каких-либо дополнительных прав. То есть в теории злоумышленнику не нужно ни приложение, ни переход пользователя по ссылке — смартфон можно просто «уронить» удалённо.

По части ядра бюллетень закрывает несколько критических уязвимостей, связанных с ключевыми подсистемами безопасности:

PKVM: CVE-2025-48623, 48637, 48638
IOMMU: CVE-2025-48624

PKVM отвечает за изоляцию важных данных и кода. Если злоумышленник получает доступ к этой подсистеме, он может нарушить фундаментальные границы безопасности устройства.

Дополнительные исправления касаются чипсетов:

Qualcomm — две критические уязвимости в закрытых компонентах (CVE-2025-47319, 47372) и набор ошибок высокой степени риска.
MediaTek — почти два десятка уязвимостей высокой степени риска, в основном в модеме и IMS.
Unisoc — около 12 серьёзных проблем, опять же в модемной части.
Arm и Imagination — патчи для драйверов Mali и PowerVR.

Какие именно риски актуальны для конкретного пользователя, зависит от модели смартфона: разные чипсеты — разные уязвимости.