Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
OnyxC2 to nowoczesny infostealer oferowany w modelu Malware-as-a-Service, który łączy klasyczne funkcje kradzieży danych z możliwościami zdalnej kontroli nad zainfekowanym systemem. W praktyce oznacza to, że zagrożenie nie ogranicza się do przechwytywania loginów i haseł z przeglądarek, ale obejmuje również menedżery haseł, rozszerzenia 2FA, portfele kryptowalutowe, klienty pocztowe i narzędzia FTP.
Taki model działania pokazuje, że współczesne infostealery coraz częściej przypominają rozbudowane platformy operacyjne dla cyberprzestępców. Z perspektywy organizacji i użytkowników indywidualnych oznacza to wzrost ryzyka pełnej kompromitacji tożsamości cyfrowej oraz przejęcia dostępu do usług osobistych i firmowych.
W skrócie
OnyxC2 pojawił się jako gotowy produkt sprzedawany abonamentowo, co znacząco obniża próg wejścia dla mniej doświadczonych przestępców. Według analiz badaczy podstawowy wariant ma kosztować 250 dolarów miesięcznie, a rozszerzona wersja 500 dolarów miesięcznie.
Narzędzie ma obsługiwać około 210 aplikacji i rozszerzeń w dziewięciu kategoriach. Oferuje wykradanie poświadczeń, ciasteczek sesyjnych, danych autofill, informacji z portfeli kryptowalutowych oraz dodatkowych danych, które mogą umożliwiać przejęcie kont nawet po zmianie hasła.
- model subskrypcyjny Malware-as-a-Service,
- obsługa szerokiego zestawu aplikacji i rozszerzeń,
- kradzież danych uwierzytelniających i materiału sesyjnego,
- funkcje zdalnej kontroli typowe dla RAT,
- mechanizmy utrudniające analizę i detekcję.
Kontekst / historia
Rynek infostealerów od kilku lat ewoluuje w kierunku profesjonalnych usług przestępczych. OnyxC2 wpisuje się w ten trend szczególnie wyraźnie, ponieważ zamiast prostego malware operator otrzymuje panel zarządzający, kreator buildów, różne poziomy licencji oraz gotowe wabiki używane do dystrybucji.
To ważna zmiana w krajobrazie zagrożeń. Zaawansowane funkcje ofensywne przestają być domeną wyłącznie technicznie wyspecjalizowanych grup. Dzięki gotowej infrastrukturze i modelowi abonamentowemu nawet mniej zaawansowany cyberprzestępca może prowadzić skuteczne kampanie kradzieży danych i budować kolejne etapy ataku po początkowej infekcji.
Analiza techniczna
Z technicznego punktu widzenia OnyxC2 wyróżnia się szerokim zakresem celów oraz dojrzałym łańcuchem dostawy. Malware ma wspierać wiele przeglądarek opartych na Chromium i Gecko, rozszerzenia związane z uwierzytelnianiem dwuskładnikowym, menedżery haseł, portfele kryptowalutowe, klientów FTP oraz pocztowych. Taki dobór celów wskazuje, że stawką są nie tylko dane konsumenckie, ale również dostęp do zasobów firmowych.
Jednym z kluczowych elementów działania jest DLL sideloading. W analizowanych próbkach wykorzystywano archiwa zawierające legalny, podpisany binarnie plik wykonywalny oraz złośliwą bibliotekę DLL o nazwie zgodnej z oczekiwanym importem. Po uruchomieniu programu dochodziło do załadowania złośliwej biblioteki z tego samego katalogu, co pozwalało wykorzystać reputację zaufanego pliku i utrudniało wykrycie.
Dodatkową warstwą maskowania był sposób przygotowania samej biblioteki. Zamiast niewielkiego i łatwego do rozpoznania payloadu badacze opisali duży plik przypominający legalną bibliotekę graficzną, zawierający prawdziwe eksporty funkcji. Właściwy ładunek był dołączony na końcu pliku jako zaszyfrowany blob, odszyfrowywany dopiero podczas wykonania. To utrudnia analizę statyczną i może ograniczać skuteczność części mechanizmów skanujących.
OnyxC2 oferuje również zestaw funkcji kojarzonych z narzędziami RAT. Wśród nich wymieniane są HVNC dostępne przez przeglądarkę, zrzut pamięci LSASS, RunPE, reverse SOCKS5 proxy, keylogger, menedżer plików, zrzuty ekranu oraz reverse shell przez HTTP. Oznacza to, że operator może nie tylko kraść dane, ale także utrzymywać dostęp i rozwijać atak wewnątrz środowiska ofiary.
Istotny jest także poziom dojrzałości panelu budowania próbek. Konfiguracja ma umożliwiać wybór formatu EXE lub DLL, ustawienia autorun, kopiowanie samego siebie, pośrednie ładowanie, anti-VM oraz pobieranie buildów szyfrowanych AES-256. To sugeruje regularny rozwój produktu i jego komercyjny charakter.
Konsekwencje / ryzyko
Największe zagrożenie związane z OnyxC2 wynika z połączenia szerokiego zasięgu, niskiego progu wejścia oraz trudności w detekcji. Pojedyncza skuteczna infekcja może doprowadzić do utraty danych logowania, przejęcia aktywnych sesji webowych, wycieku informacji finansowych oraz uzyskania trwałego dostępu do systemu użytkownika.
Szczególnie niebezpieczne jest przechwytywanie ciasteczek sesyjnych, danych z rozszerzeń 2FA i menedżerów haseł. W takich przypadkach sama zmiana hasła nie zawsze wystarcza do odzyskania pełnej kontroli nad kontem, ponieważ atakujący może nadal dysponować aktywnymi tokenami lub dodatkowymi sekretami uwierzytelniającymi.
Dla organizacji skutki mogą być jeszcze poważniejsze. Jeśli malware uzyska dostęp do klientów pocztowych, narzędzi FTP, systemów komunikacyjnych lub zdalnego dostępu, konsekwencją mogą być incydenty typu business email compromise, dalsza propagacja w środowisku, przygotowanie gruntu pod ransomware oraz eksfiltracja danych.
Rekomendacje
Organizacje powinny traktować infostealery nowej generacji jako zagrożenie obejmujące pełne naruszenie tożsamości, a nie wyłącznie kradzież haseł. Obrona powinna łączyć ochronę endpointów, monitoring tożsamości oraz kontrolę ruchu wychodzącego.
- wdrożenie application control i allowlistingu w celu ograniczenia uruchamiania nieautoryzowanych aplikacji i bibliotek,
- monitorowanie przypadków ładowania bibliotek DLL z katalogów użytkownika i lokalizacji tymczasowych,
- wykrywanie nietypowego użycia podpisanych aplikacji jako nośników złośliwego kodu,
- analiza prób dostępu do LSASS, aktywności keyloggerów i wykonania kodu wyłącznie w pamięci,
- stosowanie odpornych metod MFA oraz ograniczanie przechowywania poświadczeń w przeglądarkach,
- unieważnianie sesji i ponowne wydawanie tokenów po wykryciu infekcji,
- segmentacja dostępu i monitoring ruchu C2, w tym nietypowych połączeń HTTPS oraz tunelowania.
W praktyce reakcja na incydent z udziałem takiego malware powinna obejmować nie tylko reset haseł, ale również przegląd aktywnych sesji, odtworzenie zaufania do urządzeń oraz analizę, czy atakujący nie uzyskał trwałego dostępu do środowiska.
Podsumowanie
OnyxC2 pokazuje, że współczesne infostealery przestały być prostymi narzędziami do kradzieży haseł. To modularne, rozwijane komercyjnie platformy łączące wykradanie danych, unikanie detekcji i funkcje zdalnej kontroli, dostępne w modelu abonamentowym dla szerokiego grona cyberprzestępców.
Z perspektywy obronnej kluczowe jest uznanie, że infekcja takim malware może oznaczać jednoczesną kompromitację tożsamości, sesji oraz dostępu do procesów biznesowych. Skuteczna detekcja powinna więc obejmować zachowanie procesów, ładowanie bibliotek, anomalie uwierzytelniania i oznaki utrzymywania trwałego dostępu.
Źródła
- https://www.securityweek.com/onyxc2-stealer-offers-cybercriminals-enterprise-grade-theft-for-250-a-month/
- https://www.blackfog.com/inside-onyxc2-the-new-stealer-targeting-210-apps/