В январе 2025 года специалисты BI.ZONE зафиксировали многочисленные атаки, нацеленные на российские организации разных отраслей, включая финансовый сектор, ритейл, IT, госсектор, транспорт и логистику. Злоумышленники похищают аутентификационные данные для дальнейшей продажи на теневых ресурсах. В атаках используется стилер NOVA — видоизмененная версия популярного SnakeLogger. Исследователи сообщили, что злоумышленники распространяют стилер с помощью фишинговых писем, под видом архива с договорами. Обычно в таких случаях используют двойное расширение и привычные для пользователя иконки, например изображение Word или PDF. Это позволяет скрыть от жертвы тот факт, что файл исполняемый. При этом хакеры не маскируют вложение с NOVA под легитимный документ. Они лишь присваивают файлу допустимое имя («Договор.exe»). То есть делают ставку не на тщательную маскировку фишинга, а на массовость рассылок и невнимательность сотрудников, которые регулярно взаимодействуют с большим количеством писем. После распаковки и закрепления в системе стилер собирает сохраненные аутентификационные данные, перехватывает нажатия клавиш, делает снимки экрана и извлекает данные из буфера обмена. В изученном экспертами образце эксфильтрация собранных данных осуществлялась посредством SMTP. NOVA извлекает сохраненные аутентификационные данные из браузера Mozilla Firefox Так, после запуска вредоносный файл осуществляет расшифровку данных, скрытых методом стеганографии, из ресурсов с именем zabawa2, а затем копирует себя под другим именем в AppDataoaming и осуществляет запуск PowerShell для добавления файла в исключения Microsoft Defender. Для закрепления в скомпрометированной системе вредоносный файл использует планировщик заданий Windows. NOVA представляет собой форк другого стилера – SnakeLogger и появился в продаже в Telegram в августе 2024 года, распространяясь по схеме malware-as‑a‑service. Цена вредоноса составляет 50 долларов за месяц использования (630 долларов за бессрочную лицензию). Также отмечается, что его разработчик предлагает криптор, который защищает малварь от обнаружения. Его цена стартует с 60 долларов за месяц и доходит до 150 долларов за три месяца использования. «Злоумышленники часто создают копии известного ВПО и меняют его характеристики, чтобы обойти современные средства защиты. Так случилось и с популярным SnakeLogger, который применяется в 23% атак с использованием стилеров. Злоумышленники модифицировали его и создали форк NOVA. Новый инструмент несколько отличается от предшественника: за счет оптимизации кода и обновления архитектуры NOVA его сложнее распознать привычными средствами обнаружения», — комментирует Олег Скулкин, руководитель BI.ZONE Threat Intelligence.