Малыш Chihuahua Stealer знаком с творчеством рэпера из Воронежа
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Малыш Chihuahua Stealer знаком с творчеством рэпера из Воронежа

Татьяна Никитина 14 Мая 2025 - 18:43
...
Малыш Chihuahua Stealer знаком с творчеством рэпера из Воронежа

Объявившийся в прошлом месяце облегченный Windows-стилер распространяется через вредоносные документы Google Drive, при открытии которых запускается обфусцированный скрипт PowerShell — загрузчик.

Проведенный в G DATA анализ показал, что новобранец Chihuahua создан на основе .NET, имеет модульную архитектуру и умело уклоняется от обнаружения.

Цепочку заражения запускает небольшой лаунчер, выполняющий Base64-строку с помощью командлета PowerShell. Это позволяет обойти политики запуска скриптов и незаметно внедрить runtime-логику в закодированную полезную нагрузку.

После декодирования скрипт второй ступени преобразует тяжелый обфусцированный пейлоад — удаляет кастомные разделители и заменяет шестнадцатеричные символы ASCII, динамически воссоздавая сценарий третьей ступени. Подобный трюк призван воспрепятствовать детектированию средствами статического анализа и песочницы.

Деобфусцированный скрипт создает запланированное задание на ежеминутный запуск проверки папки «Недавние места» на наличие маркеров инфицирования (файлов .normaldaki). При положительном результате происходит соединение с C2 для получения дальнейших инструкций.

На последней стадии заражения на машину жертвы скачиваются NET-сборка и финальный пейлоад — Chihuahua Stealer (VirusTotal52/72 на 14 мая), который расшифровывается и грузится в память для выполнения.

 

Примечательно, что при запуске вредонос вначале печатает в консоли текст песни из репертуара Джона Гарика — классический образец российского трэпа в транслите. Как оказалось, за это отвечает функция DedMaxim().

 

После столь необычной прелюдии инфостилер приступает к выполнению основных задач:

  • дактилоскопирует зараженную машину (использует WMI для получения имени компьютера и серийного номера диска);
  • крадет данные из браузеров и расширений-криптокошельков, которые находит по списку известных ID;
  • пакует собранную информацию в ZIP-файл с расширением .chihuahua, шифруя его по AES-GCM с помощью Windows CNG API;
  • отправляет добычу на свой сервер по HTTPS.

Завершив работу, зловред тщательно стирает следы своей деятельности — используя стандартные команды, удаляет созданные запланированное задание, временные файлы и консольный вывод.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

СПБ разрабатывает шифратор «Квазар-400» со скоростью до 400 Гбит/с
Екатерина Быстрова 06 Октября 2025 - 19:34
Корпорации Криптографическая защита (шифрование) в центрах обработки данных
СПБ разрабатывает шифратор «Квазар-400» со скоростью до 400 Гбит/с

Компания «Системы практической безопасности» (ГК «СПБ») начала разработку нового шифратора «Квазар-400», который сможет обеспечивать скорость шифрования до 400 Гбит/с на одной паре устройств. Новый продукт расширит линейку средств защиты комплекса «Квазар» и рассчитан на использование в высокопроизводительных каналах связи, где требуется защищать большие объёмы данных без потери скорости.

В компании отмечают, что шифратор сохранит ключевые свойства предыдущих решений серии — отсутствие влияния на трафик и минимальную задержку.

В устройстве планируется использовать шифрование по ГОСТ на уровне L1 модели OSI. Это позволит внедрять систему в существующую инфраструктуру без сложной настройки и не затрагивать работу ИТ-сервисов.

Генеральный директор «СПБ» Дмитрий Смирнов пояснил, что потребность в таких решениях будет расти вместе с объёмами корпоративного трафика:

«Количество конфиденциальных данных — от персональной информации до биометрии — ежегодно увеличивается. Поэтому необходимость в скоростных криптографических решениях станет критически важной в ближайшие годы».

По стратегии развития отрасли связи до 2035 года, ежегодный рост трафика в магистральных сетях оценивается примерно в 25% — до 2200 Эбайт. Почти 90% существующих линий связи к этому времени потребуют модернизации. Кроме того, на 20% в год увеличивается объём обмена данными между дата-центрами.

На этом фоне эксперты считают, что к моменту выхода нового устройства на рынок спрос на сертифицированные отечественные шифраторы высокой производительности будет устойчиво расти.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
«Агропромцифра» запустила аудит кибербезопасности для агропредприятий
Новость
«Агропромцифра» запустила аудит кибербезопасности для агропр...
Только от отмены рейсов Аэрофлот потерял 250 млн рублей за сутки
Новость
Только от отмены рейсов Аэрофлот потерял 250 млн рублей за с...
Злоумышленники борются за маржинальность
Новость
Злоумышленники борются за маржинальность

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.