Малыш Chihuahua Stealer знаком с творчеством рэпера из Воронежа

Татьяна Никитина 14 Мая 2025 - 18:43

...

Малыш Chihuahua Stealer знаком с творчеством рэпера из Воронежа

Объявившийся в прошлом месяце облегченный Windows-стилер распространяется через вредоносные документы Google Drive, при открытии которых запускается обфусцированный скрипт PowerShell — загрузчик.

Проведенный в G DATA анализ показал, что новобранец Chihuahua создан на основе .NET, имеет модульную архитектуру и умело уклоняется от обнаружения.

Цепочку заражения запускает небольшой лаунчер, выполняющий Base64-строку с помощью командлета PowerShell. Это позволяет обойти политики запуска скриптов и незаметно внедрить runtime-логику в закодированную полезную нагрузку.

После декодирования скрипт второй ступени преобразует тяжелый обфусцированный пейлоад — удаляет кастомные разделители и заменяет шестнадцатеричные символы ASCII, динамически воссоздавая сценарий третьей ступени. Подобный трюк призван воспрепятствовать детектированию средствами статического анализа и песочницы.

Деобфусцированный скрипт создает запланированное задание на ежеминутный запуск проверки папки «Недавние места» на наличие маркеров инфицирования (файлов .normaldaki). При положительном результате происходит соединение с C2 для получения дальнейших инструкций.

На последней стадии заражения на машину жертвы скачиваются NET-сборка и финальный пейлоад — Chihuahua Stealer (VirusTotal — 52/72 на 14 мая), который расшифровывается и грузится в память для выполнения.

Примечательно, что при запуске вредонос вначале печатает в консоли текст песни из репертуара Джона Гарика — классический образец российского трэпа в транслите. Как оказалось, за это отвечает функция DedMaxim().

После столь необычной прелюдии инфостилер приступает к выполнению основных задач:

дактилоскопирует зараженную машину (использует WMI для получения имени компьютера и серийного номера диска);
крадет данные из браузеров и расширений-криптокошельков, которые находит по списку известных ID;
пакует собранную информацию в ZIP-файл с расширением .chihuahua, шифруя его по AES-GCM с помощью Windows CNG API;
отправляет добычу на свой сервер по HTTPS.

Завершив работу, зловред тщательно стирает следы своей деятельности — используя стандартные команды, удаляет созданные запланированное задание, временные файлы и консольный вывод.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 06 Октября 2025 - 20:56

Indeed Privileged Access Manager Корпорации Контроль привилегированных пользователей (PAM) Компания Индид

В Indeed PAM 3.2 появилась аутентификация по SSH-ключам

Российская компания «Индид», разработчик решений для защиты цифровой идентичности, выпустила обновление своей системы управления привилегированным доступом Indeed PAM. В версии 3.2 появились новые возможности, направленные на повышение безопасности и упрощение администрирования.

Главное нововведение — поддержка аутентификации по SSH-ключам. Теперь пользователи могут подключаться к целевым системам без ввода пароля, что снижает риск атак, связанных с подбором или перехватом учетных данных.

Такой способ аутентификации повышает уровень безопасности и ускоряет работу с системами, где требуется защищённый доступ.

В новой версии также реализована функция создания внутренних пользователей прямо из консоли управления. Это особенно важно для изолированных сетевых сегментов, где нет доступа к внешнему каталогу.

Теперь администраторы могут добавлять сотрудников или подрядчиков напрямую, не теряя контроль над системой даже при сбое внешних сервисов. При этом остаётся возможность работать одновременно с внешними и внутренними каталогами.

Ещё одно обновление касается управления правами пользователей. Indeed PAM 3.2 теперь автоматически выявляет неиспользуемые привилегии, помогая администраторам вовремя корректировать политики доступа и уменьшать риск избыточных разрешений.

Кроме того, улучшен механизм поиска по сессиям: теперь можно фильтровать результаты по причинам завершения сеанса и видеть, кто инициировал его завершение. Это упрощает аудит и анализ действий пользователей.

В целом обновление делает систему более гибкой и безопасной, а работу администраторов — удобнее и прозрачнее.