Від фальшивих веб-сайтів Proton VPN до ігрових модифікацій: цей інфостілер для Windows всюди

"graph TB %% Class Definitions classDef action fill:#ffcccc classDef tool fill:#c2c2f0 classDef process fill:#c2f0c2 classDef malware fill:#ffd966 %% Nodes initial_access["<b>Action</b> – <b>T1204.002 Виконання користувача</b>: Жертва завантажує шкідливий ZIP з фейкового VPN або сайту апаратної утиліти й запускає його."] class initial_access action malicious_zip["<b>Шкідливе ПЗ</b> – <b>Назва</b>: Шкідливий ZIP-архів<br/><b>Обфускація</b>: T1027.015 Стиснення"] class malicious_zip malware powershell_loader["<b>Процес</b> – <b>Назва</b>: Завантажувач PowerShell<br/><b>Техніка</b>: T1059.001 Команда та інтерпретатор скриптів"] class powershell_loader process defender_exclusion["<b>Дія</b> – <b>T1564.012 Приховування артефактів</b>: Додає свої папки в список виключень Windows Defender."] class defender_exclusion action impair_defenses["<b>Дія</b> – <b>T1562 Ослаблення захисних механізмів</b>: Змінює налаштування безпеки через PowerShell для уникнення виявлення."] class impair_defenses action cmstp_tool["<b>Інструмент</b> – <b>Назва</b>: cmstp.exe<br/><b>Техніка</b>: T1218.003 Виконання системного бінарного проксі"] class cmstp_tool tool uac_bypass["<b>Дія</b> – <b>T1548.002 Обхід UAC</b>: Використовує CMSTP з підготовленим файлом INF для отримання підвищених прав."] class uac_bypass action regasm_tool["<b>Інструмент</b> – <b>Назва</b>: regasm.exe<br/><b>Техніка</b>: T1218.009 Виконання системного бінарного проксі"] class regasm_tool tool process_hollowing["<b>Дія</b> – <b>Спорожнювання процесів</b>: Створює процес Regasm і спорожнює його через NT API."] class process_hollowing action dll_hijack["<b>Дія</b> – <b>T1574.001 DLL-підміна</b>: Розгортає шкідливий iviewers.dll, який завантажується легітимними виконуваними файлами."] class dll_hijack action persistence["<b>Дія</b> – <b>T1546 Відтворюване виконання подій</b> & <b>T1547 Автостарт завантаження або входу</b>: Заплановує завдання для запуску корисного навантаження при вході користувача з підвищеними привілеями."] class persistence action cred_browser["<b>Дія</b> – <b>T1555.003 Облікові дані з веб-браузерів</b>: Збирає паролі та cookies з декількох браузерів."] class cred_browser action cred_cookie["<b>Дія</b> – <b>T1539 Викрадення веб-сесійних cookies</b>: Видобуває cookies сесій для веб-сервісів."] class cred_cookie action browser_discovery["<b>Дія</b> – <b>T1217 Виявлення інформації браузера</b>: Перераховує профілі браузера, розширення та налаштування."] class browser_discovery action c2_dead_drop["<b>Дія</b> – <b>T1102.001 Розв’язувач «мертвих» веб-сервісів</b>: Отримує додаткову інформацію C2 з каналу Telegram."] class c2_dead_drop action c2_bidirectional["<b>Дія</b> – <b>T1102.002 Двосторонній зв’язок через веб-сервіс</b>: Зв’язується з C2 через зашифрований HTTP."] class c2_bidirectional action %% Connections initial_access –>|доставляє| malicious_zip malicious_zip –>|виконує| powershell_loader powershell_loader –>|створює приховані каталоги і додає виключення| defender_exclusion powershell_loader –>|змінює налаштування безпеки| impair_defenses powershell_loader –>|викликає| cmstp_tool cmstp_tool –>|дає змогу| uac_bypass uac_bypass –>|запускає| regasm_tool regasm_tool –>|виконує| process_hollowing process_hollowing –>|випускає| dll_hijack dll_hijack –>|сприяє| persistence persistence –>|надає доступ для| cred_browser cred_browser –>|збирає| cred_cookie cred_browser –>|збирає| browser_discovery cred_cookie –>|використовується для| c2_dead_drop browser_discovery –>|надає інформацію до| c2_dead_drop c2_dead_drop –>|зв’язується через| c2_bidirectional "

Потік атак