Chrome, Firefox и Edge: как Flesh Stealer стал ночным кошмаром для браузеров

В киберпреступном мире появился новый игрок — вредоносная программа Flesh Stealer, способная обходить защиту браузеров и похищать данные пользователей. Зловредное ПО активно рекламируется на подпольных форумах и Telegram-каналах, а ранее и вовсе продвигалось через YouTube.

Flesh Stealer представляет собой вредоносный исполняемый файл .NET, написанный на C#. Он оснащён множеством защитных механизмов, включая обход шифрования App Bound в Chrome, антиотладку и проверку на запуск в виртуальной среде. Обнаруженный впервые в августе 2024 года, он продолжает получать обновления. Последнее значительное улучшение добавило поддержку Chrome 131.

Программа собирает данные из браузеров Chrome, Firefox, Edge и Opera, похищая сохранённые пароли, куки и историю посещений. Кроме того, Flesh Stealer способен извлекать чаты и базы данных из приложений Signal и Telegram, передавая их на сервер злоумышленников. Специальный механизм определяет регион системы, и если установлен один из языков стран СНГ, вредоносный код не запускается.

Одним из ключевых механизмов защиты программы является её способность распознавать виртуальные машины. Flesh Stealer анализирует характеристики физической памяти, версию BIOS и скорость работы системы. Если присутствуют индикаторы работы в среде VMware, VirtualBox, Hyper-V или других аналогичных систем, выполнение кода прекращается. Также программа сканирует запущенные процессы на предмет отладочных инструментов, таких как Wireshark или HttpDebuggerUI, и при обнаружении завершает их работу.

Для повышения скрытности Stealer использует методы обфускации кода и шифрование данных. Он проверяет подключённые к системе устройства через Windows Management Instrumentation (WMI) и сохраняет собранную информацию в отдельный файл. Дополнительно программа извлекает учётные данные Wi-Fi с помощью командной строки Windows, получая сведения об алгоритмах шифрования и паролях сохранённых сетей.

Разработчик Flesh Stealer активно продвигал своё ПО через специализированные форумы и чаты, а также создал отдельный сайт, который использовался для его распространения. Однако сайт был удалён в октябре 2024 года. В свою очередь, Telegram-канал, связанный с проектом, на данный момент всё ещё остаётся активным.

Flesh Stealer продолжает развиваться, получая положительные отзывы среди киберпреступников. Несмотря на новые правила модерации Telegram, злоумышленники продолжают использовать эту платформу для управления заражёнными устройствами и передачи похищенных данных.

Эксперты предупреждают, что появление новых вредоносных программ на базе уже существующих технологий становится всё более частым явлением. Flesh Stealer демонстрирует, насколько эволюционировали современные методы кибератак, и требует от организаций повышенного внимания к защите данных.

Специалисты рекомендуют внедрение многофакторной аутентификации, ограничение использования браузерных расширений, мониторинг сетевого трафика и активное использование средств защиты конечных точек для выявления и блокировки таких угроз.