NIS2/KSC2 starter pack. Czy Twoja firma podlega pod regulację i co z tego wynika? Bezpłatne szkolenie od sekuraka
Konferencja Mega Sekurak Hacking Party w Krakowie – 26-27 października!
Bezpłatne szkolenie: AI dla admina. Top 5 zadań, które zrobisz szybciej
Jak donoszą badacze z Blackfog na początku 2026 r. zaobserwowano nowe zagrożenie – infostealer o nazwie OnyxC2. To co go wyróżnia to przede wszystkim profesjonalny model dystrybucji. Jest oferowany na forach dla cyberprzestępców. Za równowartość $250 miesięcznie potencjalni nabywcy zyskują potężne narzędzie, pozwalające na wykradanie danych uwierzytelniających z przeglądarek, menadżerów haseł, aplikacji dedykowanych do dwuskładnikowego uwierzytelnienia oraz portfeli kryptowalutowych. Zgodnie z deklaracją oferentów, oprogramowanie wspiera około 210 różnych aplikacji i rozszerzeń.
TLDR:
Zgromadzone dane są zabezpieczone szyfrowaniem oraz wysyłane specjalnym kanałem na serwer C2. Co ciekawe, cyberprzestępcy udzielają gwarancji na sprzedawane oprogramowanie. Jeżeli systemy antywirusowe wykryją malware (co będzie skutkować udaremnieniem działań), atakujący mogą liczyć na zwrot “zainwestowanych” środków. Brzmi ciekawie, ale czy rzeczywiście tak jest? Czy to po prostu dodatkowa obietnica, aby przyciągnąć jak największą liczbę osób?
Być może twórcy są na tyle pewni zaimplementowanych mechanizmów unikania detekcji, że potencjalny zwrot środków w przypadku wykrycia jest wliczony w koszty prowadzenia biznesu. Zgodnie z analizą badaczy ich optymizm nie bierze się znikąd. Zrzuty przedstawione przez deweloperów wykazały, że jedynie 2 z 18 silników antywirusowych były w stanie oznaczyć plik jako złośliwy.
Co gorsza, badania przeprowadzone przez analityków z Blackfog są jeszcze bardziej niepokojące – w momencie umieszczenia próbek w VirusTotal licznik detekcji wyniósł zero (stan na koniec maja 2026 r.).
Oprogramowanie występuje w modelu subskrypcyjnym MaaS (Malware-as-a-Service). Za wersję standardową należy zapłacić $250 miesięcznie. Jeśli zależny nam na bardziej rozbudowanych opcjach, jak np. HVNC – Hidden Virtual Network Computing, miesięczny koszt wyniesie $500. Moduł ten pozwala na zdalne kontrolowanie zainfekowanej maszyny w sposób całkowicie niewidoczny dla użytkownika. Coś na podobę klasycznego pulpitu zdalnego, z tą różnicą, że użytkownik nie widzi żadnych ruchów kursora ani otwierających się okienek.
Najbardziej wymagający klienci mogą zakupić wersję premium – $6000. Pakiet ten oferuje kod źródłowy wraz ze szczegółową instrukcją samodzielnej instalacji. W przypadku problemów z konfiguracją, deweloperzy oferują pełne wsparcie techniczne.
Główny komponent wykonawczy malware został napisany w C++ z elementami assemblera, co pozwala na bezpośrednie wywoływanie funkcji systemowych (direct syscalls). Dzięki temu OnyxC2 skutecznie omija standardowe mechanizmy monitorowania API. Ponadto, przy każdym buildzie kod jest automatycznie mutowany, co utrudnia opracowanie stałych reguł detekcji (statycznych sygnatur).
Oprogramowanie zostało wyposażone w dosyć intuicyjny interfejs webowy. Większość opcji operator może “wyklikać” z poziomu panelu administracyjnego, a następnie wygenerować zaszyfrowany (AES-256) build.
Wśród dostępnych w konfiguratorze opcji znajdują się:
Próbki pozyskane przez badaczy z Blackfog były dystrybuowane jako archiwa zabezpieczone hasłem. Cyberprzestępcy podszywali się pod legalne oprogramowanie takie jak FinePrint, SystemSettings czy też pakiety aktualizacji systemu Windows. Wewnątrz każdego archiwum znajdowały się legalny (podpisany cyfrowo) plik wykonywalny oraz złośliwa biblioteka .dll, której nazwę dobrano tak,aby system uznał ją za zaufany komponent aplikacji. W momencie uruchomienia programu dochodziło do załadowania złośliwej biblioteki z tego samego katalogu (DLL sideloading).
Warto dodać, że biblioteka .dll została zaprojektowana z myślą o maksymalnym ukryciu. Podszywała się pod autentyczną bibliotekę graficzną NVIDIA, eksportując realne funkcje graficzne, której rozmiar sztucznie zmodyfikowano do ponad 120 MB (duża szansa, że silnik antywirusowy pominie tak duży plik). Właściwy ładunek został umieszczony na samym końcu pliku jako zaszyfrowany ciąg danych (blob). Dopiero w momencie wczytania do pamięci następowało odszyfrowanie danych i wykonanie złośliwego kodu.
Przedstawiona analiza stanowi dobry przykład jak działa współczesny rynek MaaS. OnyxC2 nie jest kolejnym prostym oprogramowaniem służącym do wykradania danych. Jest zaawansowaną platformą, rozwijaną oraz ciągle aktualizowaną, aby oferować jak najwyższą skuteczność w omijaniu zabezpieczeń.
Zwracając uwagę na funkcjonalność aplikacji, można by się pokusić o stwierdzenie, że to nie tyle stealer, co narzędzie typu RAT (Remote Access Trojan). Poza standardowym wykradaniem danych, oprogramowanie oferuje bowiem moduły typu HVNC, możliwość wykonywania zrzutów pamięci procesu LSASS (w celu pozyskania skrótów haseł i tokenów uwierzytelniających), zestawianie reverse SOCKS5 proxy, a także reverse shell przez HTTP. Ponadto, umożliwia wstrzykiwanie kodu metodą RunPE (zarówno z poziomu dysku jak i bezpośrednio do pamięci RAM) oraz posiada wbudowany tunel sieci Tor.
Dostęp do narzędzi typu OnyxC2 sprawi, że skala zaawansowanych ataków w najbliższych latach może drastycznie wzrosnąć. Atakujący nie musi już posiadać specjalistycznej wiedzy programistycznej ani dogłębnie rozumieć mechanizmy zachodzące w systemach operacyjnych, aby skutecznie uderzyć w konkretny cel. Wystarczy, że wykupi oprogramowanie z odpowiednią licencją, a cała jego rola ograniczy się do “przeklikania” buildu w intuicyjnym panelu webowym oraz przygotowanie skutecznej wiadomości phishingowej.
Źródło: blackfog.com
~_secmike
