В январе 2025 года специалисты BI.ZONE зафиксировали многочисленные атаки, нацеленные на российские организации разных отраслей, включая финансовый сектор, ритейл, IT, госсектор, транспорт и логистику. Злоумышленники похищают аутентификационные данные для дальнейшей продажи на теневых ресурсах. В атаках используется стилер NOVA — видоизмененная версия популярного SnakeLogger.
Исследователи сообщили, что злоумышленники распространяют стилер с помощью фишинговых писем, под видом архива с договорами. Обычно в таких случаях используют двойное расширение и привычные для пользователя иконки, например изображение Word или PDF. Это позволяет скрыть от жертвы тот факт, что файл исполняемый.
При этом хакеры не маскируют вложение с NOVA под легитимный документ. Они лишь присваивают файлу допустимое имя («Договор.exe»). То есть делают ставку не на тщательную маскировку фишинга, а на массовость рассылок и невнимательность сотрудников, которые регулярно взаимодействуют с большим количеством писем.
После распаковки и закрепления в системе стилер собирает сохраненные аутентификационные данные, перехватывает нажатия клавиш, делает снимки экрана и извлекает данные из буфера обмена. В изученном экспертами образце эксфильтрация собранных данных осуществлялась посредством SMTP.
Так, после запуска вредоносный файл осуществляет расшифровку данных, скрытых методом стеганографии, из ресурсов с именем zabawa2, а затем копирует себя под другим именем в AppData\Roaming и осуществляет запуск PowerShell для добавления файла в исключения Microsoft Defender.
Для закрепления в скомпрометированной системе вредоносный файл использует планировщик заданий Windows.
NOVA представляет собой форк другого стилера – SnakeLogger и появился в продаже в Telegram в августе 2024 года, распространяясь по схеме malware-as‑a‑service.
Цена вредоноса составляет 50 долларов за месяц использования (630 долларов за бессрочную лицензию). Также отмечается, что его разработчик предлагает криптор, который защищает малварь от обнаружения. Его цена стартует с 60 долларов за месяц и доходит до 150 долларов за три месяца использования.
«Злоумышленники часто создают копии известного ВПО и меняют его характеристики, чтобы обойти современные средства защиты. Так случилось и с популярным SnakeLogger, который применяется в 23% атак с использованием стилеров. Злоумышленники модифицировали его и создали форк NOVA. Новый инструмент несколько отличается от предшественника: за счет оптимизации кода и обновления архитектуры NOVA его сложнее распознать привычными средствами обнаружения», — комментирует Олег Скулкин, руководитель BI.ZONE Threat Intelligence.
