Вредоносное ПО в MSI-инсталляторах атакует криптотрейдеров с июня 2025 года

Вредоносное ПО в MSI-инсталляторах атакует криптотрейдеров с июня 2025 года

Изощрённая вредоносная кампания, направленная против криптовалютных трейдеров, незаметно действует с июня 2025 года, используя обманчиво простой, но эффективный приём: жёсткое кодирование SSH-учётных данных и токенов GitLab непосредственно внутри MSI-инсталляторов. Операция уже скомпрометировала более 90 хостов и специально разработана для захвата аккаунтов криптотрейдеров — путём объединения системной разведки, кейлоггинга и кражи данных браузера в единую скоординированную цепочку атаки. Для тех, кто хранит или активно торгует цифровыми активами, механика этой кампании наглядно показывает, почему одного лишь аппаратного кошелька недостаточно для защиты.

Как работает кампания с MSI-инсталляторами: разведка, кейлоггинг и кража данных браузера

Атака начинается в момент, когда цель запускает то, что выглядит как легитимный MSI-инсталлятор — стандартный формат пакетов Windows, используемый бесчисленными поставщиками программного обеспечения. После запуска инсталлятор развёртывает набор вредоносного ПО из трёх модулей, работающих последовательно.

Первый модуль выполняет системную разведку, составляя карту конфигурации заражённого хоста, сетевого окружения и установленного программного обеспечения. Этот этап даёт злоумышленнику чёткое представление о том, с чем он работает, прежде чем приступить к более глубокому вторжению. Второй модуль активирует кейлоггер, перехватывая всё, что вводит жертва, — включая учётные данные для входа на биржи, коды двухфакторной аутентификации и парольные фразы кошельков. Третий модуль нацелен на данные, хранящиеся в браузере: он извлекает сохранённые пароли, сессионные куки и записи автозаполнения, которые можно использовать для обхода аутентификации на финансовых платформах, даже не зная пароля от аккаунта напрямую.

Такое сочетание неслучайно. Кейлоггинг перехватывает учётные данные в движении; кража данных браузера перехватывает учётные данные в состоянии покоя. Вместе они оставляют очень мало пробелов.

Почему жёстко закодированные учётные данные представляют системный риск

Что делает эту кампанию особенно примечательной с точки зрения исследований безопасности — это не только то, что она делает с жертвами, но и то, что она раскрывает о самих злоумышленниках. Встраивание жёстко закодированных SSH-учётных данных и токенов GitLab внутрь инсталлятора означает, что вредоносное ПО несёт прямую, статическую ссылку на собственную внутреннюю инфраструктуру.

Это провал операционной безопасности со стороны злоумышленника, и подобное не уникально для данной группы. Когда разработчики — будь то создатели легитимного ПО или вредоносных инструментов — жёстко кодируют токены аутентификации в скомпилированных или упакованных файлах, эти учётные данные становятся доступны для чтения любому, кто проверит двоичный файл. Для защитников жёстко закодированные учётные данные во вредоносном ПО могут раскрыть серверы управления и контроля, репозитории кода и даже внутренний рабочий процесс разработки злоумышленника. Для жертв тот же изъян, который может помочь следователям отследить атакующих, не обеспечивает никакой защиты после того, как компрометация уже произошла.

Эта закономерность отражает более широкие тенденции в вредоносном ПО, нацеленном на облако. Как описывалось в материале о вредоносном ПО PCPJack, эксплуатирующем облачные учётные данные, фреймворки кражи учётных данных всё чаще рассматривают ненадлежащим образом защищённые токены как лёгкую добычу — будь то токены жертв или, как в данном случае, самих злоумышленников.

Кто является целью и почему криптотрейдеры выделены особо

Фокус кампании на криптовалютных трейдерах не случаен. Крипто-аккаунты представляют собой исключительно привлекательный профиль цели: они нередко хранят значительную ликвидную ценность, транзакции необратимы после трансляции в блокчейн, а многие трейдеры одновременно используют браузерные интерфейсы для управления позициями на нескольких биржах.

Последний момент критически важен. Браузерная торговля означает, что сессии, куки и сохранённые учётные данные в браузере — прямой путь к доступу к аккаунту. Злоумышленник, захвативший действительный сессионный куки из браузера, зачастую может пройти аутентификацию на бирже без запроса пароля или кода двухфакторной аутентификации, поскольку сессия уже является аутентифицированной. Компонент кейлоггера затем охватывает любой сценарий, при котором трейдер выходит из системы и входит обратно, перехватывая свежие учётные данные в режиме реального времени.

При более чем 90 уже подтверждённых скомпрометированных хостах масштаб кампании свидетельствует о целенаправленной, но настойчивой операции, а не о подходе широкого веерного распространения. Трейдеры, загружавшие программное обеспечение из неофициальных или непроверенных источников с июня 2025 года, подвергаются наибольшему риску.

Как VPN, менеджеры учётных данных и гигиена браузера сокращают вашу поверхность атаки

Ни один инструмент не устраняет риск, который представляет эта кампания, однако ряд практик существенно снижает уязвимость.

VPN не предотвращает выполнение вредоносного ПО, уже оказавшегося на машине, но снижает риск перехвата трафика и может ограничить видимость на сетевом уровне, которую злоумышленник получает в ходе фазы разведки. Ещё важнее то, что последовательное использование VPN на всех устройствах помогает превратить сетевую гигиену в привычку, а не в запоздалую меру.

Менеджеры учётных данных устраняют один из ключевых векторов атаки: сохранённые в браузере пароли. Когда учётные данные хранятся в специализированном зашифрованном менеджере, а не во встроенном хранилище паролей браузера, кража данных браузера даёт злоумышленнику значительно меньше используемой информации. Большинство менеджеров учётных данных также поддерживают генерацию уникальных сложных паролей для каждого аккаунта, что ограничивает масштаб ущерба в случае перехвата одного набора учётных данных.

Гигиена браузера также имеет значение. Трейдерам следует рассмотреть возможность использования отдельного профиля браузера — или вовсе отдельного браузера — исключительно для доступа к биржам. В этом профиле не должно быть сохранённых паролей, расширений сверх строго необходимого минимума, а куки следует очищать после каждой сессии. Сессионные куки не могут быть похищены из сессии, которой больше не существует.

Наконец, дисциплина при установке программного обеспечения — первая линия обороны. MSI-файлы, полученные за пределами официальных сайтов поставщиков или магазинов приложений, несут реальный риск. Проверка хешей файлов, проверка подписей издателей и восприятие любого инсталлятора, требующего отключения защитного программного обеспечения, как немедленного тревожного сигнала могут предотвратить первоначальное выполнение, которое делает всё остальное возможным.

Что это означает для вас

Если вы активно торгуете криптовалютой или храните цифровые активы, доступные через браузерный интерфейс, эта кампания — прямое предупреждение. Аппаратные кошельки защищают средства в блокчейне, но не защищают биржевые аккаунты, а именно там данное вредоносное ПО нацелено причинить ущерб.

Начните с аудита того, где сейчас хранятся ваши учётные данные. Если ваши пароли от бирж сохранены в браузере, перенесите их в специализированный менеджер учётных данных и создайте новые уникальные пароли для каждой платформы. Проверьте расширения браузера и удалите всё, чем вы активно не пользуетесь. Проверьте историю загрузок на наличие MSI-инсталляторов, полученных с июня 2025 года из источников, которые вы не можете проверить.

Нарастающая изощрённость операций по краже учётных данных — от кампаний с жёстко закодированными токенами, описанных здесь, до многоуязвимостной эксплуатации, задокументированной в фреймворках, нацеленных на облако, — делает проактивную гигиену учётных данных одной из наиболее эффективных защитных мер, доступных рядовым пользователям. Потратить час на аудит своей настройки сегодня значительно менее болезненно, чем завтра восстанавливаться после захвата аккаунта.