Распространение программы осуществляется через электронные письма, маскирующиеся под официальную юридическую корреспонденцию. Исследователи из компании Sublime установили, что в теле письма размещается HTML-контент с гиперссылкой, ведущей на файл под названием «DebtCollectionCase.exe». Ссылка содержит уникальный токен, позволяющий скачать вредонос только один раз — это затрудняет работу исследователей, пытающихся повторно загрузить файл для анализа.
TROX Stealer распространяется не только под видом документа, но и включает в себя целую цепочку сложных технических решений. Вредоносный файл представляет собой Python-скрипт, скомпилированный на Nuitka и многократно обфусцированный. После запуска он распаковывает вложенные файлы: поддельный PDF-документ и исполняемый файл «node700.exe», представляющий собой интерпретатор Node.JS, используемый для выполнения дальнейших сценариев заражения.
Одним из ключевых компонентов становится использование WebAssembly-кода, зашифрованного в Base64 и снабжённого мусорными инструкциями для затруднения анализа. Программа также взаимодействует с различными доменами и IP-адресами, регулярно обновляя SSL-сертификаты, что позволяет ей оставаться незамеченной и работать длительное время.
Как пишет Securitylab, TROX Stealer сдавался злоумышленникам на условиях краткосрочной лицензии — они могли использовать его в течение нескольких дней, после чего вредонос снова распространялся уже другим клиентам.
Среди пострадавших — образовательные учреждения, энергетические компании и даже фирмы, работающие в сфере кибербезопасности. Такое широкое покрытие свидетельствует о высокой адаптивности вредоноса и целенаправленности атак.
Особо отмечается роль искусственного интеллекта в борьбе с угрозой: движок Sublime успешно выявлял письма с TROX Stealer ещё на этапе доставки, блокируя вредонос на ранней стадии. Тем не менее, эксперты подчёркивают, что одного лишь ИИ недостаточно — необходимо постоянное обновление методов анализа, обучение персонала и повышение осведомлённости пользователей.
«TROX Stealer представляет собой сложное вредоносное ПО, использующее несколько уровней обфускации для обхода систем защиты и затрудняющее его обнаружение. Программа использует такие технологии, как Nuitka и WebAssembly, чтобы скрыть свои действия и усложнить процесс реверс-инжиниринга. Распространение TROX Stealer происходит через фишинговые письма, сгенерированные с помощью искусственного интеллекта. Такие письма, создающие ложное ощущение срочности, побуждают пользователей к действиям, что значительно повышает вероятность того, что они откроют письмо и загрузят вредоносный файл», — объясняет Екатерина Едемская, инженер-аналитик компании «Газинформсервис».
Эксперт предупреждает, что методы кражи данных через запросы к базам данных и браузерам давно известны и являются распространённым методом для извлечения конфиденциальной информации. Однако использование этих техник в рамках TROX Stealer подчёркивает важность строгого контроля за безопасностью приложений, браузеров и веб-ресурсов. В частности, необходимо применять дополнительные меры защиты, такие как мониторинг сетевой активности и выявление аномалий, чтобы минимизировать риски, связанные с эксплуатацией этих уязвимостей.