Аналитики компании Microsoft рассказали об обнаружении Windows-бэкдора GigaWiper, который объединяет в себе как минимум три семейства малвари. Вредонос способен следить за жертвой, похищать файлы, удаленно управлять зараженной системой и безвозвратно уничтожать данные сразу несколькими способами.
Впервые специалисты Microsoft Threat Intelligence зафиксировали атаки с использованием GigaWiper еще в октябре 2025 года. Они сообщают, что малварь написана на Go, а ее операторы могут по команде запускать отдельные функции, выбирая между шпионажем, эксфильтрацией и уничтожением информации на зараженной машине.
Исследователи обнаружили два варианта вредоноса. Первый представляет собой обычный вайпер, который работает на уровне физического диска. Эта версия использует Windows Management Instrumentation (WMI) для идентификации системного раздела Windows, удаляет таблицу разделов, а затем перезаписывает содержимое диска, уничтожает метаданные и перезагружает систему.
Второй образец представляет собой полноценный модульный бэкдор, одним из компонентов которого является упомянутый вайпер. Для закрепления в системе он маскируется под OneDrive, создает задачу планировщика OneDrive Update с запуском каждую минуту и хранит служебные данные в ветке реестра HKCU\SOFTWARE\OneDrive\Environment.
В арсенале GigaWiper есть еще два способа уничтожения данных. Так, один из модулей малвари основан на коде шифровальщика Crucio: он шифрует файлы, добавляет к ним расширение .candy и меняет обои на рабочем столе. При этом малварь не сохраняет ключ и не оставляет записку с требованием выкупа, то есть расшифровать пострадавшие данные оказывается невозможно.
Другой компонент представляет собой переписанный на Go вайпер FlockWiper. Он многократно перезаписывает системный диск, используя разные шаблоны. Кроме того, отдельная команда отключает среду восстановления Windows и провоцирует «синий экран смерти», после чего устройство перестает загружаться.
Но GigaWiper обладает не только деструктивными возможностями: бэкдор способен делать скриншоты со всех мониторов, непрерывно записывать экран зараженной машины и открывать скрытую VNC-сессию, позволяя атакующим управлять клавиатурой и мышью жертвы.
Также малварь может запускать команды PowerShell, собирать информацию о зараженной системе, управлять процессами и службами, редактировать реестр и очищать журналы событий Windows. Хуже того, в изученных образцах специалисты обнаружили пока незадействованные заготовки для кейлоггера и дополнительных методов уничтожения данных.
Для связи с управляющей инфраструктурой GigaWiper использует легитимные сервисы: RabbitMQ отвечает за передачу команд, Redis принимает результаты их выполнения, а MinIO Client загружает похищенные файлы в удаленное хранилище.
В числе возможных индикаторов компрометации GigaWiper специалисты перечисляют задачу OneDrive Update, срабатывающую с минутным интервалом, трафик RabbitMQ или Redis с обычных рабочих станций, а также неожиданный запуск takeown и icacls для системных файлов Windows.
Следует отметить, что ранее исследователи из Binary Defense уже обнаруживали эту малварь и дали ей имя BLUERABBIT. Тогда эксперты связывали вредоноса с некой иранской хак-группой, атакующей израильские организации.

