20/05/25
Исследователи выявили вредоносное ПО под названием Hannibal Stealer — модульный инфостилер на платформе .NET, ориентированный на массовое извлечение чувствительной информации и при этом обладающий целым арсеналом средств для сокрытия своей активности.
Особенность этого вредоноса — не просто кража данных, а использование продвинутых методов маскировки, позволяющих ему незаметно обойти даже современные системы обнаружения. Внедрение через DLL-инъекции, динамическая загрузка компонентов и шифрование полезной нагрузки — всё это делает Hannibal Stealer трудной мишенью для аналитиков и антивирусов.
Hannibal активно ищет данные в браузерах на движках Chromium и Gecko, включая Chrome, Edge и Firefox, похищая куки, данные автозаполнения и сохранённые пароли. Для маскировки своей активности он использует файлы с легитимными названиями — например, «CefSharp.BrowserSubprocess.dll», что позволяет ему выглядеть как обычный браузерный компонент.
При анализе были выявлены обращения к системным библиотекам Windows — таким как «bcrypt.dll» для дешифровки зашифрованных участков кода, «iphlpapi.dll» для сетевой разведки и «kernel32.dll» для операций с памятью. Эти вызовы говорят о намерении внедряться в процессы, управлять памятью и маскировать следы.
Шифрование полезной нагрузки реализовано с помощью алгоритма AES-GCM через стандартный Windows Cryptography API. Это означает, что вредоносный код дешифруется только во время выполнения и остаётся скрытым на всех других этапах, включая анализ.
Hannibal Stealer активно охотится за криптовалютными кошельками — такими как Bitcoin Core, Ethereum и Atomic Wallet. Он копирует конфигурационные файлы из пользовательских директорий и передаёт их злоумышленникам. Ещё один тревожный момент — замена адресов в буфере обмена: пользователь копирует кошелёк, чтобы перевести средства, а Hannibal тихо подменяет его на адрес хакеров .
Кроме криптовалюты, вирус интересуется VPN-конфигурациями (включая CyberGhost и NordVPN), логинами от FTP-клиентов (вроде FileZilla), а также пытается собрать MAC-адрес и IP шлюза — данные, которые могут быть использованы для отслеживания или ограничения работы вируса в определённых странах.
К слову, у Hannibal Stealer есть встроенный механизм геофенсинга: он прекращает выполнение, если обнаруживает запуск в странах СНГ. Это распространённая тактика среди разработчиков вредоносов, желающих избежать внимания местных правоохранителей.
Эксплуатация Telegram в качестве канала управления и передачи данных даёт Hannibal преимущество — ему не нужны выделенные сервера, а переписка выглядит как обычный бот. Среди известных адресов передачи данных — «45[.]61[.]141[.]160[:]8001/uploads/atrvw7», что может указывать на сервер хранения украденной информации.
Дополнительную опасность представляют функции создания логов с системной информацией, скриншотов, кражи паролей и содержания кошельков. Всё это оформляется и отправляется в C2-инфраструктуру, в обход стандартных фильтров.
