Вирус в заявке: как Zhong Stealer «ломает» компании через службу поддержки

Хакеры нашли новый способ проникновения в системы криптовалютных и финтех-компаний, используя социальную инженерию. В конце декабря 2024 года исследователи компании ANY.RUN зафиксировали масштабную фишинговую активность, целью которой стало распространение ранее неизвестного вредоносного ПО — Zhong Stealer.

Злоумышленники выдавали себя за клиентов и создавали запросы в службу поддержки через такие платформы, как Zendesk. Они прикрепляли к обращениям ZIP-архивы с вредоносными файлами, убеждая сотрудников открыть их под предлогом срочной помощи. Среди переданных файлов были обнаружены исполняемые EXE-файлы, которые после запуска загружали дополнительные модули и подключались к командному серверу в Гонконге.

Исследователи заметили, что на первых этапах Zhong Stealer практически не распознавался антивирусными программами. Однако с увеличением числа заражений его начали обнаруживать алгоритмы машинного обучения. Чтобы грамотно отслеживать угрозу, эксперты дали вирусу собственное имя.

Запуск Zhong Stealer приводил к немедленному подключению к удалённому серверу, откуда загружались дополнительные компоненты. Среди них оказался файл, подписанный украденным сертификатом, маскирующийся под обновление антивируса BitDefender. Вредоносное ПО закрепляло себя в системе, изменяя ключи реестра и создавая запланированные задачи, а затем начинало сбор данных. В первую очередь оно анализировало языковые настройки системы, чтобы исключить заражение в определённых регионах.

Основная цель Zhong Stealer — кража учётных данных. Он сканировал браузеры, начиная с Brave и Edge, извлекал сохранённые пароли и передавал их на удалённый сервер через нестандартный порт 1131. Эксперты отметили, что использование таких портов позволяет вирусу обходить традиционные методы обнаружения.

Чтобы избежать заражения, специалисты рекомендуют обучать сотрудников службы поддержки распознавать фишинговые атаки, ограничивать выполнение ZIP-файлов из ненадёжных источников и отслеживать подозрительный исходящий трафик. Использование песочниц для анализа неизвестных файлов поможет выявлять угрозы до их активации.

Zhong Stealer стал очередным примером того, как социальная инженерия остаётся одним из самых эффективных инструментов киберпреступников. Злоумышленники используют человеческое доверие, чтобы обходить защитные механизмы и красть конфиденциальные данные, а значит, бдительность и многоуровневая защита остаются ключевыми инструментами противодействия.