Российские организации атакует троян-стилер NOVA

Татьяна Никитина 29 Января 2025 - 14:57

Таргетированные атаки

...

Российские организации атакует троян-стилер NOVA

Действующие в России злоумышленники активно осваивают коммерческий инструмент кражи данных, появившийся на черном рынке в прошлом году. Троян NOVA на поверку оказался модом популярного в криминальных кругах инфостилера SnakeLogger.

Новобранец, по словам BI.ZONE, предлагается к продаже в Telegram с августа 2024 года. Для защиты зловреда от обнаружения тот же автор создал криптор, который предоставляется в пользование за отдельную плату.

В этом месяце эксперты зафиксировали множество атак NOVA на российский госсектор и бизнес. Похищенные вредоносом данные в основном предназначены для продажи в даркнете.

Новый Winsows-стилер рассылается в письмах с вредоносным вложением. Примечательно, что злоумышленники даже не пытаются замаскировать его под легитимный документ — просто присваивают архивному файлу имя, соответствующее теме письма, к примеру, «Договор.exe».

После запуска экзешник извлекает из ресурсов (zabawa2) данные, скрытые по методу стеганографии, выполняет декодирование, копирует себя под другим именем в AppData\Roaming и запускает PowerShell, чтобы добавить свой файл в исключения Microsoft Defender.

Для обеспечения постоянного присутствия в системе создается запланированное задание. После этого вредонос запускает себя в режиме ожидания и внедряет в дочерний процесс полезную нагрузку — стилер NOVA (на VirusTotal детектится с результатом 48/68 на 29 января).

Для получения IP-адреса жертвы троян обращается к сервисам checkip[.]dyndns[.]org и reallyfreegeoip[.]org. Он умеет собирать сохраненные учетки, регистрировать клавиатурный ввод, делать скриншоты, извлекать данные из буфера обмена.

Для эксфильтрации краденого может использоваться SMTP. В подвергнутом анализу образце были также предусмотрены функции отключения Microsoft Defender, диспетчера задач, редактора реестра; командной строки, однако кода для их выполнения аналитики не обнаружили.

По данным BI.ZONE, на долю SnakeLogger в настоящее время приходится 23% атак с использованием стилеров. Догонит ли его NOVA по популярности, покажет время.

«Новый инструмент несколько отличается от предшественника: за счет оптимизации кода и обновления архитектуры NOVA сложнее распознать привычными средствами обнаружения», — подытожил результаты анализа Олег Скулкин, руководитель BI.ZONE Threat Intelligence.

Следующая главная новость »

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »

Екатерина Быстрова 11 Февраля 2026 - 18:23

Windows Staffcop Enterprise Корпорации Системы защиты от утечек конфиденциальной информации (DLP)

Staffcop добавил файловый сканер и перехват данных в MAX на Windows

В Staffcop (входит в экосистему «Контур») вышло обновление, которое добавляет больше инструментов для расследования инцидентов и профилактики утечек. Самое важное нововведение — файловый сканер для инвентаризации данных и перехват переписки в MAX на Windows.

Новый файловый сканер собирает информацию о файлах на рабочих станциях и в хранилищах, анализирует их содержимое и передаёт результаты на сервер.

Данные автоматически раскладываются по категориям, после чего с ними проще работать: настраивать доступы, политики, назначать метки. Для ИБ-специалистов добавили удобные фильтры и поиск — это упрощает разбор результатов и помогает быстрее находить чувствительные данные и потенциальные риски.

Кроме того, Staffcop теперь учитывает метки, которые проставляет «Спектр.Маркер», и использует их в метаданных файлов. Это позволяет точнее применять политики и ускоряет расследование инцидентов: информация из двух систем анализируется автоматически.

В части контроля коммуникаций добавлен перехват переписки в мессенджере MAX на Windows, а также WebWhatsApp на Linux. Это даёт возможность анализировать сообщения, фиксировать нарушения и выявлять признаки передачи защищаемой информации через несанкционированные каналы.

Разработчики также переработали обработку данных: ускорили извлечение текста и выделение слов-триггеров. Новый механизм спуллера распределяет нагрузку при приёме данных от агентов, что снижает риск просадок производительности и ошибок при работе с большими объёмами информации.

Появился обновлённый драйвер контроля клавиатуры — он позволяет надёжнее фиксировать ввод паролей при входе в систему. Это расширяет возможности контроля рабочих станций и помогает выявлять слабые пароли, несанкционированные учётные записи и попытки доступа.

Обновили и утилиту удалённой установки агентов: теперь можно гибче задавать правила установки и исключения, что особенно актуально для сложной инфраструктуры. Добавлена поддержка Rutoken на Windows для контроля использования токенов, а в интерфейсе появилась информация о сроке окончания технической поддержки сервера — чтобы администраторам было проще планировать обновления и продление поддержки.

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »