Мошенники запустили фишинговую кампанию, в которой поддельный сайт, имитирующий антивирус Avast, убеждает пользователей самостоятельно заразить свои компьютеры.
Сайт выглядит правдоподобно: запускает якобы проверку системы и сообщает о множестве угроз. Однако результаты полностью сфабрикованы. При попытке "исправить" проблему пользователю предлагают скачать файл, который на деле является вредоносным ПО — Venom Stealer. Этот троян предназначен для кражи паролей, сессионных cookie и данных криптовалютных кошельков.
Это классическая схема "запугать и предложить решение": сначала создается ощущение угрозы, затем предлагается "лечение". В данном случае злоумышленники злоупотребляют доверием к бренду Avast.
После короткой анимации отображается заранее заданный результат: обнаружено три угрозы, три угрозы устранены, система защищена. Для правдоподобия в "логе" указывается конкретная сигнатура — Trojan:Win32/Zbot.AA!dll.
Далее предлагается скачать "исправление" — файл Avast_system_cleaner.exe.
Именно он и является вредоносной нагрузкой.
Файл полностью идентичен исходному (тот же MD5-хэш) и запускается с аргументом --v20c, который используется для переключения во "вторую стадию" выполнения.
Выбор пути не случаен: файл с именем v20svc.exe в директории Google Chrome выглядит как легитимный компонент браузера. Это典ичный пример маскировки (masquerading), рассчитанный на то, что пользователь или администратор не обратит внимания.
В бинарнике также обнаружен путь к PDB-файлу crypter_stub.pdb, что указывает на использование криптера — инструмента, скрывающего вредоносный код от антивирусов.
На момент анализа только около 27% движков на VirusTotal детектировали угрозу, то есть большинство решений ее пропускали.
По YARA-сигнатурам образец был отнесен к семейству Venom Stealer — производному от Quasar RAT, распространяемому на подпольных форумах с 2020 года.
Также в памяти процесса обнаружены JSON-структуры с cookie из Microsoft Edge и Google Chrome, включая активные сессии таких сервисов, как Netflix, YouTube, Reddit, Facebook, LinkedIn, AliExpress, Outlook, Adobe и Google.
Сессионные cookie позволяют злоумышленнику захватывать аккаунты без пароля — даже при включенной двухфакторной аутентификации.
Передача происходит по незашифрованному HTTP в четыре этапа:
В 2025 году уже фиксировалась аналогичная кампания с поддельным сайтом Bitdefender, распространявшим Venom RAT и StormKitty. Сценарий идентичен: имитация бренда, создание срочности и доставка трояна под видом защиты.
Если есть вероятность, что вы взаимодействовали с таким сайтом:
ecbeaa13921dbad8028d29534c3878503f45a82a09cf27857fa4335bd1c9286d
Домен:
app-metrics-cdn[.]com
IP:
104.21.14.89
C2 URL:
Сайт выглядит правдоподобно: запускает якобы проверку системы и сообщает о множестве угроз. Однако результаты полностью сфабрикованы. При попытке "исправить" проблему пользователю предлагают скачать файл, который на деле является вредоносным ПО — Venom Stealer. Этот троян предназначен для кражи паролей, сессионных cookie и данных криптовалютных кошельков.
Это классическая схема "запугать и предложить решение": сначала создается ощущение угрозы, затем предлагается "лечение". В данном случае злоумышленники злоупотребляют доверием к бренду Avast.
Фальшивое сканирование с заранее заданным результатом
Фишинговая страница полностью копирует внешний вид Avast: навигацию, логотип и "сертификаты безопасности". Пользователю предлагают запустить якобы комплексную проверку системы.После короткой анимации отображается заранее заданный результат: обнаружено три угрозы, три угрозы устранены, система защищена. Для правдоподобия в "логе" указывается конкретная сигнатура — Trojan:Win32/Zbot.AA!dll.
Далее предлагается скачать "исправление" — файл Avast_system_cleaner.exe.
Именно он и является вредоносной нагрузкой.
Маскировка под компоненты Chrome
После запуска Avast_system_cleaner.exe вредоносный файл (64-битный PE ~2 МБ) копирует себя в каталог:C:\Program Files\Google\Chrome\Application\v20svc.exeФайл полностью идентичен исходному (тот же MD5-хэш) и запускается с аргументом --v20c, который используется для переключения во "вторую стадию" выполнения.
Выбор пути не случаен: файл с именем v20svc.exe в директории Google Chrome выглядит как легитимный компонент браузера. Это典ичный пример маскировки (masquerading), рассчитанный на то, что пользователь или администратор не обратит внимания.
В бинарнике также обнаружен путь к PDB-файлу crypter_stub.pdb, что указывает на использование криптера — инструмента, скрывающего вредоносный код от антивирусов.
На момент анализа только около 27% движков на VirusTotal детектировали угрозу, то есть большинство решений ее пропускали.
По YARA-сигнатурам образец был отнесен к семейству Venom Stealer — производному от Quasar RAT, распространяемому на подпольных форумах с 2020 года.
Кража данных: пароли, cookie и криптокошельки
После запуска вредонос начинает сбор данных с устройства жертвы.Браузеры
Подтверждено, что троян извлекает:- сохраненные учетные данные,
- сессионные cookie.
C:\Users<USER>\AppData\Roaming\Mozilla\Firefox\Profiles<profile>\cookies.sqlite-shmТакже в памяти процесса обнаружены JSON-структуры с cookie из Microsoft Edge и Google Chrome, включая активные сессии таких сервисов, как Netflix, YouTube, Reddit, Facebook, LinkedIn, AliExpress, Outlook, Adobe и Google.
Сессионные cookie позволяют злоумышленнику захватывать аккаунты без пароля — даже при включенной двухфакторной аутентификации.
Криптовалюты
Вредонос ищет и пытается извлечь данные локальных криптокошельков. Это критично для пользователей, хранящих средства в "горячих" кошельках.Дополнительные действия
- создание скриншота рабочего стола;
- сохранение файла сессии;
- создание маркерного файла C:\Users\Public\NTUSER.dat для маскировки.
Экcфильтрация под видом аналитики
Все украденные данные отправляются на домен app-metrics-cdn[.]com (IP 104.21.14.89), замаскированный под сервис аналитики или CDN.Передача происходит по незашифрованному HTTP в четыре этапа:
- POST /api/upload — отправка файлов (~140 КБ);
- POST /api/upload-json — отправка структурированных данных (~29 КБ);
- POST /api/upload-complete — сигнал завершения;
- регулярные запросы к /api/listener/heartbeat.
Методы уклонения от обнаружения
Venom Stealer применяет продвинутые техники обхода защиты:- прямые и косвенные системные вызовы (обход ntdll.dll);
- проверка наличия отладчика;
- анализ CPU и серийного номера диска;
- создание guard-страниц памяти;
- перечисление процессов;
- задержки выполнения (sleep более 3 минут).
Не новая, но эффективная схема
Подмена сайтов антивирусов — один из старейших методов социальной инженерии. Пользователь, уверенный, что его система заражена, склонен действовать быстро, особенно если интерфейс выглядит как у доверенного поставщика.В 2025 году уже фиксировалась аналогичная кампания с поддельным сайтом Bitdefender, распространявшим Venom RAT и StormKitty. Сценарий идентичен: имитация бренда, создание срочности и доставка трояна под видом защиты.
Что делать при подозрении на заражение
Если есть вероятность, что вы взаимодействовали с таким сайтом:
- Проверьте наличие файла
C:\Program Files\Google\Chrome\Application\v20svc.exe
— его присутствие с высокой вероятностью указывает на заражение. - Выполните полное сканирование системы с помощью надежного инструмента, например Malwarebytes.
- Немедленно смените пароли, начиная с почты, банков и важных сервисов.
- Завершите все активные сессии (Google, Microsoft, соцсети и т.д.).
- При использовании криптокошельков — срочно переведите средства на новый кошелек, созданный на чистом устройстве.
Индикаторы компрометации (IOC)
SHA-256:ecbeaa13921dbad8028d29534c3878503f45a82a09cf27857fa4335bd1c9286d
Домен:
app-metrics-cdn[.]com
IP:
104.21.14.89
C2 URL:
- http://app-metrics-cdn[.]com/api/upload
- http://app-metrics-cdn[.]com/api/upload-json
- http://app-metrics-cdn[.]com/api/upload-complete
- http://app-metrics-cdn[.]com/api/listener/heartbeat
