Троян-инфостилер WhiteSnake способен атаковать и Windows, и Linux

Татьяна Никитина 27 Февраля 2023 - 17:30

Домашние пользователи

Программы-шифровальщики

...

Троян-инфостилер WhiteSnake способен атаковать и Windows, и Linux

В ИБ-компании Cyble проанализировали образец нового инфостилера для Windows, распространяемого через спам-рассылки. Судя по рекламным объявлениям в даркнете, WhiteSnake существует также в Linux-версии, но ее функциональность пока ограничена.

Новый зловред предоставляется в пользование как услуга (Malware-as-a-Service, MaaS). Первую рекламу сервиса на его основе исследователи обнаружили на хакерских форумах в начале текущего месяца. Наблюдения показали, что вредоносный код обновляется почти каждый день и, видимо, находится в стадии активной разработки.

Судя по анонсу, версия WhiteSnake для Linux по функциям идентична Windows-варианту, но некоторые возможности пока не реализованы, и размер предлагаемого файла заметно меньше — всего 5 Кбайт.

Выявленная атака начинается со спам-письма. Прикрепленный экзешник замаскирован под документ PDF; при его активации в папку временных файлов сбрасывается tmp46D2.tmp.bat и запускается на исполнение.

Этот BAT-файл выполняет PowerShell-скрипт, загружающий из CDN-сети Discord другой BAT-файл (build.bat) — дроппер WhiteSnake. После извлечения и расшифровки вредонос сохраняется в папке %temp% как build.exe.

По свидетельству Cyble, полезная нагрузка build.exe представляет собой 32-битный NET-бинарник с возможностью установки через GUI. Уровень детектирования WhiteSnake на VirusTotal в настоящее время составляет 44 / 69 (результат от 27 февраля).

При исполнении build.exe вначале создает мьютекс, чтобы исключить дублирование запуска, а затем проверяет окружение на наличие виртуальных машин.

Анализ кода подтвердил наличие функций кражи куки-файлов и учетных данных из различных браузеров:

Mozilla Firefox,
Google Chrome,
Brave,
Chromium,
Microsoft Edge.

Вредонос также умеет воровать важные файлы из следующих программ-криптокошельков:

Atomic,
Guarda,
Coinomi,
Bitcoin,
Electrum,
Exodus.

Его также интересуют криптоплагины для браузеров, мессенджеры (Discord, Pidgin, Steam, Telegram), почтовые и FTP-клиенты, а также иной софт — например, Snowflake. Украденные данные вместе с информацией о системе (включает скриншоты) троян в зашифрованном виде (RC4) отсылает телеграм-боту.

Следующая главная новость »

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »

Екатерина Быстрова 11 Февраля 2026 - 09:03

Трояны Домашние пользователи

Троянская версия 7-Zip превращает компьютеры в прокси-узлы

Исследователи из Malwarebytes обнаружили вредоносную версию популярного архиватора 7-Zip, которая распространяется через поддельный сайт 7zip[.]com. Вместо обычной установки программы пользователи получают скрытый пейлоад: заражённый компьютер начинает работать как узел резидентского прокси.

Поводом для расследования стал пост на Reddit, где пользователь пожаловался на заражение после скачивания 7-Zip не с официального сайта 7-zip.org, а с похожего домена.

Выяснилось, что вредоносный установщик действительно инсталлирует рабочую версию архиватора, но параллельно загружает дополнительные компоненты.

Основная задача зловреда — использовать устройство жертвы как прокси-сервер. Это позволяет третьим лицам направлять интернет-трафик через IP-адрес пользователя. Фактически компьютер становится частью чужой инфраструктуры, а владелец может даже не подозревать об этом.

Вредоносная программа также применяет методы сокрытия от анализа: проверяет среду запуска на признаки виртуальных машин и инструментов мониторинга, прежде чем активироваться.

По словам менеджера по исследованиям и реагированию Malwarebytes Стефана Дасича, любой компьютер, на котором запускался установщик с 7zip[.]com, следует считать скомпрометированным.

Интересно, что жертва попала на поддельный сайт после перехода по ссылке из комментариев к ролику на YouTube. В Malwarebytes отмечают, что такие мелкие ошибки — например, указание неправильного домена в обучающем видео — могут использоваться злоумышленниками для массового перенаправления пользователей на вредоносную инфраструктуру.

Эксперты советуют скачивать программы только с официальных сайтов и сохранять проверенные адреса в закладках. Также стоит насторожиться, если установщик подписан непривычным сертификатом или ведёт себя нетипично.

Кроме того, исследователи связали эту кампанию с более широкой схемой распространения proxyware — в найденных файлах упоминались Hola, TikTok, WhatsApp (принадлежит Meta, признанной экстремистской и запрещенной в России) и Wire. Это может указывать на использование заражённых устройств в более крупной сети прокси-инфраструктуры.

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »