TROX Stealer: юридический спам, который крадёт реальные деньги
Всего один безобидный клик запускает длинную цепочку неприятностей.
TROX Stealer, впервые обнаруженный в декабре 2024 года, стал примером изощрённой вредоносной кампании, нацеленной на кражу чувствительной информации у обычных пользователей. Исследователи из компании Sublime установили , что основная стратегия злоумышленников строится на психологическом давлении — тревожные письма с темами вроде «Последний шанс до судебного иска» вынуждают жертву действовать поспешно и бездумно.
Распространение программы осуществляется через электронные письма, маскирующиеся под официальную юридическую корреспонденцию. В теле письма размещается HTML-контент с гиперссылкой, ведущей на файл под названием «DebtCollectionCase.exe». Ссылка содержит уникальный токен, позволяющий скачать вредонос только один раз — это затрудняет работу исследователей, пытающихся повторно загрузить файл для анализа.
TROX Stealer распространяется не только под видом документа, но и включает в себя целую цепочку сложных технических решений. Вредоносный файл представляет собой Python-скрипт, скомпилированный на Nuitka и многократно обфусцированный. После запуска он распаковывает вложенные файлы: поддельный PDF-документ и исполняемый файл «node700.exe», представляющий собой интерпретатор Node.JS, используемый для выполнения дальнейших сценариев заражения.
Одним из ключевых компонентов становится использование WebAssembly-кода, зашифрованного в Base64 и снабжённого мусорными инструкциями для затруднения анализа. Программа также взаимодействует с различными доменами и IP-адресами, регулярно обновляя SSL-сертификаты, что позволяет ей оставаться незамеченной и работать длительное время.
Модель распространения через платформы Malware-as-a-Service обеспечивает гибкость и высокую скорость атак. TROX Stealer сдавался злоумышленникам на условиях краткосрочной лицензии — они могли использовать его в течение нескольких дней, после чего вредонос снова распространялся уже другим клиентам.
Среди пострадавших — образовательные учреждения, энергетические компании и даже фирмы, работающие в сфере кибербезопасности. Такое широкое покрытие свидетельствует о высокой адаптивности вредоноса и целенаправленности атак.
Особо отмечается роль искусственного интеллекта в борьбе с угрозой: движок Sublime успешно выявлял письма с TROX Stealer ещё на этапе доставки, блокируя вредонос на ранней стадии. Тем не менее, эксперты подчёркивают, что одного лишь ИИ недостаточно — необходимо постоянное обновление методов анализа, обучение персонала и повышение осведомлённости пользователей.
Сложность TROX Stealer, многослойная архитектура, использование разных языков программирования и продвинутые приёмы обхода защит делают его типичным представителем нового поколения вредоносного ПО. Борьба с ним требует не только технологических решений, но и стратегического подхода к организации киберзащиты.