Поддельная капча Cloudflare заразила компьютер российской

Инцидент произошел в марте 2026 года

2 мин.
Поддельная капча Cloudflare заразила компьютер российской

Специалисты Solar 4RAYS разобрали кибератаку, где фальшивая проверка «Я не робот» стала точкой входа на рабочую станцию российской промышленной компании. Злоумышленники подсунули сотруднику страницу, копирующую защитный механизм Cloudflare, и уговорили его самому выполнить вредоносную команду.
Итогом стала установка стилера Santa Stealer, который массово ворует учётные данные, токены авторизации и прочую конфиденциальную информацию.

Инцидент случился в марте 2026 года. Всё началось с сайта kentuckyfiredepartment[.]com, где человеку показывали страницу с обещанием повышенной конфиденциальности и особого токена сроком 90 дней. Вместо обычной капчи посетителю предлагали открыть окно «Выполнить» комбинацией Win+R, вставить готовую команду и подтвердить запуск.

На деле команда стартовала PowerShell, который подтягивал исполняемый файл с ресурса galaktikabt[.]ru. Сайт легитимный, но к моменту атаки уже перешёл под контроль злоумышленников. После срабатывания загрузчика на машину падал Santa Stealer.

Santa Stealer, по словам экспертов, расходится по модели Malware-as-a-Service. Покупателю выдают конструктор, которым он сам собирает нужную версию и затачивает её под кампанию. Базовая версия стоит около 200 долларов, расширенная — 300 долларов, бессрочная лицензия — примерно 1000 долларов. Расширенные функции ищут документы по заданным словам, откладывают старт программы, склеивают её с легитимными файлами и подменяют адреса криптокошельков в буфере обмена жертвы.

Цепочка заражения держалась на двух компонентах — загрузчике на Go и основной программе на языке C. Первый расшифровывал полезную нагрузку и запускал её прямо в оперативной памяти, а основной файл на диск не ложился, что мешало обнаружению обычными антивирусами.

После начала работы Santa Stealer тянул сохранённые пароли браузеров, cookie-файлы, активные сессии, токены Discord и Steam, сведения из корпоративных VPN-клиентов, доступы к Azure и Google Cloud, содержимое криптокошельков и документы.

Занятной чертой образца стало отключение функции Anti-CIS. Обычно программа глохнет при виде компьютеров из стран СНГ, но здесь операторы намеренно сняли ограничение, ведь мишенью были российские организации.

Новые версии обзавелись поддержкой Cloudflare WARP и WireGuard для защищённого канала связи с управляющими серверами. Сетевой обмен выглядит как обычный трафик к инфраструктуре Cloudflare, а реальный адрес сервера прячется внутри зашифрованного туннеля. Когда основной канал пропадает, программа берёт новые адреса с заранее заготовленных страниц в Telegram и Mastodon.

Специалисты нашли связь инфраструктуры Santa Stealer с теневыми площадками, где торгуют угнанными учётными записями, прежде всего аккаунтами Roblox. Предполагаемый автор программы связан с продавцами таких данных, поэтому украденная информация способна осесть не только у заказчика атаки, но и у других участников преступной инфраструктуры.

Для защиты специалисты советовали сочетать обучение сотрудников с техническими мерами — ограничение запуска PowerShell, VBScript и исполняемых файлов из временных каталогов и папок загрузок, контроль за окном Run, решения класса EDR и XDR с активной блокировкой, а также слежение за попытками поднять VPN- и WireGuard-туннели.

Мы в Telegram, на Дзен, в Google News и YouTube