Hexon Stealer: криптокошмар из Турции, обнуляющий кошельки за секунды

В киберпространстве появился новый вредоносный инструмент под названием Hexon Stealer, который представляет серьёзную угрозу как для организаций, так и для простых пользователей. Этот инфостилер похищает конфиденциальные данные, такие как токены Discord, пароли, куки браузеров и криптовалютные кошельки, а также предоставляет злоумышленникам полный контроль над заражёнными устройствами.

Hexon Stealer разработан на базе Electron Framework и распространяется через Telegram-каналы. Исследователи Cyfirma отметили, что вредонос позволяет злоумышленникам не только воровать данные, но и выполнять удалённые команды, включая захват экрана, управление клавиатурой и мышью, отправку поддельных сообщений и даже ведение переговоров о выкупе без использования сторонних каналов коммуникации.

В августе разработчики Hexon Stealer начали активно продвигать своё детище через Telegram, однако позже произвели ребрендинг в Hexon Grabber. Специалисты установили, что Hexon Stealer является переработанной версией ранее взломанного Stealit Stealer, чей исходный код был опубликован в открытом доступе после успешной операции группы исследователей.

Hexon Stealer использует разнообразные методы скрытности, включая обфускацию JavaScript-кода и создание архивированных файлов для упрощённой эксфильтрации данных. Его разработчики внедрили защиту от анализа с использованием сложных обфускаторов, что затрудняет детектирование и исследование вредоносного ПО.

Помимо кражи данных, Hexon Stealer предоставляет злоумышленникам доступ к системным функциям, таким как отключение, перезагрузка и блокировка устройства. Инструмент также используется для компрометации игровых аккаунтов и манипуляций с криптовалютными активами, включая кошельки Exodus.

Международная группа исследователей установила, что за Hexon Stealer, вероятно, стоят разработчики из Турции. Этот вывод основан на анализе исходного кода и обнаружении турецких комментариев в HTML-структурах сайта, связанного с вредоносным ПО.

Hexon Stealer распространяется через специализированные платформы, такие как Telegram и Signal, где доступен по подписке. Разработчики предлагают еженедельные, месячные и годовые тарифы, предоставляя удобный интерфейс для управления украденной информацией.

Рост популярности таких похитителей данных, как Hexon Stealer, подчёркивает необходимость усиления кибербезопасности. Эксперты рекомендуют организациям внедрять многослойную защиту, обновлять системы, проводить регулярные аудиты и обучать сотрудников для минимизации рисков.