Всё начинается буднично: кто-то ищет свежий MobaXterm, Zoom или DBeaver, качает инсталлятор с сайта, который выглядит как надо, жмёт «Установить» – и в этот момент машина уже не его. Софт действительно ставится, прогресс-бар не врёт. Просто вместе с легитимной программой в память заезжает Python-RAT, который через минуту будет знать HWID, объём RAM, установленный антивирус, доменную роль хоста и содержимое сорока с лишним криптокошельков.
За этим стоит UAT-11795 – русскоязычная, финансово мотивированная группировка, которую отслеживает Cisco Talos и которая крутит эту схему как минимум с июня 2025 года. Мишени – в основном США, следом с большим отрывом Германия, Румыния и Венесуэла. На бумаге очередной крипто-стилер через троянский софт, каких пруд пруди. Но интересна тут не сама кража, а инженерия вокруг неё: два самописных импланта, C2, запертый на железо конкретной жертвы, и резервный сервер, который лежит не на хостинге, а в смарт-контракте блокчейна – его нельзя разделегировать и нельзя изъять.
Разберём операцию целиком – от первого клика до потоковой отдачи команд оператору, по шагам, ровно в том порядке, в каком её собрали.
Эта статья доступна только подписчикам. Оформите подписку, чтобы получить доступ ко всем премиум статьям.
Автор: hacker@shifry.local