- 21,506
- 46
- 8 Ноя 2022
F6 зафиксировали крупное обновление стилера Unicorn.
Специалисты F6 зафиксировали обновление вредоносного стилера, который использует кибергруппа Unicorn. По данным экспертов, злоумышленники дополнили программу возможностями, характерными для троянов удалённого доступа (RAT).
Группа Unicorn действует с сентября 2024 года, атакуя российские компании из разных отраслей. Она проводит регулярные фишинговые рассылки, в которых структура атаки остаётся неизменной: письмо с архивом, запуск HTA-файла, выполнение VBS-скриптов и подгрузка модулей из реестра. Однако в последних кампаниях обнаружены новые функции, позволяющие получать и исполнять команды с управляющего сервера.
По данным F6, 11 августа 2025 года злоумышленники зарегистрировали новый командный домен van-darkholm[.]org, который сразу же был задействован в атаках. В октябрьском образце вредоносного ПО выявлено три пары VBS-скриптов, отвечающих за разные функции. Одни из них занимаются эксфильтрацией файлов, другие собирают данные Telegram и браузеров.
Главное изменение затронуло модуль access_rights.vbs, который взаимодействует с реестром Windows и сервером управления. При отсутствии определённых ключей реестра скрипт отправляет запрос на сервер <code>van-darkholm[.]org</code> и получает XML-файл с командами, которые затем записываются в реестр. При следующем обходе команда выполняется автоматически, а отчёт о её выполнении возвращается на сервер злоумышленников. Этот механизм фактически превращает стилер в троян с возможностью удалённого исполнения кода.
При этом аналитики F6 отмечают ошибки в логике работы вредоносной программы: из-за неточностей в коде скрипты могут перезаписывать друг друга, что нарушает процесс закрепления в системе. Это указывает на то, что разработчики продолжают дорабатывать свой инструмент, стремясь сделать его более устойчивым и универсальным.
В числе индикаторов компрометации указывается домен van-darkholm[.]org и архив ИСХ № 582ОП-34 от 15.10.2025.zip (SHA1: <code>f807369601c05ef3cff5be20afb1f5b6efbb8128</code>).
Ссылка на анализ вредоносного файла опубликована на F6 Malware detonation platform .
Ранее, в сентябре 2024 года, «Лаборатория Касперского» сообщала о первых атаках Unicorn на российские компании. Тогда вредонос распространялся через письма с архивами и ярлыками, маскирующимися под документы формата PDF. Запускаемый HTML Application активировал VBS-скрипты, которые собирали и передавали файлы пользователей, продолжая их кражу до момента обнаружения угрозы.
Специалисты F6 зафиксировали обновление вредоносного стилера, который использует кибергруппа Unicorn. По данным экспертов, злоумышленники дополнили программу возможностями, характерными для троянов удалённого доступа (RAT).
Группа Unicorn действует с сентября 2024 года, атакуя российские компании из разных отраслей. Она проводит регулярные фишинговые рассылки, в которых структура атаки остаётся неизменной: письмо с архивом, запуск HTA-файла, выполнение VBS-скриптов и подгрузка модулей из реестра. Однако в последних кампаниях обнаружены новые функции, позволяющие получать и исполнять команды с управляющего сервера.
По данным F6, 11 августа 2025 года злоумышленники зарегистрировали новый командный домен van-darkholm[.]org, который сразу же был задействован в атаках. В октябрьском образце вредоносного ПО выявлено три пары VBS-скриптов, отвечающих за разные функции. Одни из них занимаются эксфильтрацией файлов, другие собирают данные Telegram и браузеров.
Главное изменение затронуло модуль access_rights.vbs, который взаимодействует с реестром Windows и сервером управления. При отсутствии определённых ключей реестра скрипт отправляет запрос на сервер <code>van-darkholm[.]org</code> и получает XML-файл с командами, которые затем записываются в реестр. При следующем обходе команда выполняется автоматически, а отчёт о её выполнении возвращается на сервер злоумышленников. Этот механизм фактически превращает стилер в троян с возможностью удалённого исполнения кода.
При этом аналитики F6 отмечают ошибки в логике работы вредоносной программы: из-за неточностей в коде скрипты могут перезаписывать друг друга, что нарушает процесс закрепления в системе. Это указывает на то, что разработчики продолжают дорабатывать свой инструмент, стремясь сделать его более устойчивым и универсальным.
В числе индикаторов компрометации указывается домен van-darkholm[.]org и архив ИСХ № 582ОП-34 от 15.10.2025.zip (SHA1: <code>f807369601c05ef3cff5be20afb1f5b6efbb8128</code>).
Ссылка на анализ вредоносного файла опубликована на F6 Malware detonation platform .
Ранее, в сентябре 2024 года, «Лаборатория Касперского» сообщала о первых атаках Unicorn на российские компании. Тогда вредонос распространялся через письма с архивами и ярлыками, маскирующимися под документы формата PDF. Запускаемый HTML Application активировал VBS-скрипты, которые собирали и передавали файлы пользователей, продолжая их кражу до момента обнаружения угрозы.
- Источник новости
- www.securitylab.ru
