На фоне нарастающей конкуренции среди киберпреступников в сфере похищения конфиденциальных данных, в 2025 году на арену вышел новый игрок — Katz Stealer. Это вредоносное программное обеспечение класса MaaS (Malware-as-a-Service), предлагающее функциональность, сравнимую с полноценными кибершпионскими платформами, теперь доступное любому желающему — за определённую сумму.
Katz Stealer демонстрирует и изощрённый подход к краже данных, сочетающий мгновенную проверку важной информации с глубокой системой маскировки и эволюционной архитектурой загрузки вредоносных компонентов. Он распространяется преимущественно через фишинговые письма и поддельные инсталляторы программ, но этим его изобретательность не ограничивается.
После включения заражение разворачивается в несколько фаз, каждая из которых настроена на обход классических антивирусных решений. Всё начинается с архивов GZIP, содержащих JavaScript-дропперы, замаскированные с помощью типовых уловок вроде приведения типов и полиморфного объединения строк. Скрипт незаметно вызывает PowerShell, чтобы загрузить с Archive.org якобы обычное изображение. На деле в нём скрыт вредоносный код, закодированный в base64 и внедрённый с использованием стеганографии.
Согласно отчёту Picus Security, на следующем этапе загружается .NET-загрузчик, выполняющий геофенсинг и проверки виртуальных сред, чтобы исключить запуск в песочницах и аналитических средах. После этого запускается обход контроля учётных записей (UAC) через «cmstp.exe», что позволяет вредоносному коду получить повышенные привилегии в системе.
Наконец, полезная нагрузка внедряется в системные процессы, такие как «MSBuild.exe», методом Process Hollowing — это гарантирует маскировку на фоне легитимных процессов. Одновременно устанавливается канал связи с управляющим сервером (C2), зафиксированным на IP-адресе 185.107.74[.]40.
На этом этапе Katz Stealer разворачивает полноценную шпионскую деятельность. Он не просто извлекает логины из браузеров — он расшифровывает мастер-ключи из «Local State» в Chromium и выуживает сессии из профилей Firefox. В арсенале цели — 78 различных браузеров, включая редкие клоны популярных движков.
Особое внимание уделено криптокошелькам. Katz Stealer активно ищет клиенты, например Exodus, а также поисковые расширения, включая MetaMask. Все найденные программы немедленно подготавливаются к отправке через TCP или HTTPS, причём отправки сопровождаются нестандартным HTTP-заголовком User-Agent: katz-ontop, что делает эти действия отличительной меткой для сетевых систем обнаружения.
Не останавливаясь на этом, программа внедряет вредоносный код прямо в JS-программы мессенджера Discord, превращая его в инструмент для получения удалённых команд. Discord при следующем запуске начинает функционировать как точка входа для дальнейших атак, благодаря поведению автостарта.
Чтобы затруднить анализ, Katz Stealer по завершении вычищает все временные файлы. Его архитектура MaaS делает возможным сборку индивидуальных экземпляров прямо через удобную веб-панель. Это открывает дорогу киберпреступникам без глубоких технических знаний: выбор компонентов, настройка цели, экспорт украденных данных — всё доступно в пару кликов.