LabubaRAT маскується під NVIDIA: що перевірити у Windows

LabubaRAT ховається як nvidia-sysruntime.exe. Перевірте підпис, hash, автозапуск, базу даних, канали керування й кроки очищення.

Підроблений файл NVIDIA розкриває кабелі віддаленого керування та камеру

Blackpoint Cyber виявила LabubaRAT — раніше неописаний троян віддаленого доступу на Rust, який маскується під програмне забезпечення NVIDIA у Windows. Проаналізований файл nvidia-sysruntime.exe не мав цифрового підпису, але називав себе «NVIDIA Container Runtime Monitor». Якщо саме цей файл запускався на ПК, ситуацію слід розглядати як віддалений контроль системи, а не як проблему графічного драйвера.

Звіт не описує вразливість продуктів NVIDIA і не доводить, що кожен процес із назвою NVIDIA є шкідливим. Важлива комбінація ознак: неочікуваний виконуваний файл, відсутній дійсний підпис, несправжні metadata виробника, артефакти LabubaRAT і поведінка засобу віддаленого керування.

Аналіз nvidia-sysruntime.exe показує непідписаний файл із NVIDIA-подібними version metadata
Проаналізований nvidia-sysruntime.exe не мав підпису, хоча вказував NVIDIA Corporation і NVIDIA Container Runtime Monitor. Джерело: Blackpoint Cyber APG.

Що LabubaRAT може робити у Windows

LabubaRAT — це повноцінний remote-access implant, а не невеликий downloader. Він може збирати відомості про ПК і встановлені засоби захисту, запускати завдання через cmd.exe, PowerShell або JavaScript, робити знімки екрана, передавати файли, створювати архіви та перетворювати заражений комп’ютер на SOCKS5-проксі. Для зв’язку підтримуються HTTPS polling, WebView2 і DNS tunneling.

АртефактЧому це важливо
nvidia-sysruntime.exeНепідписаний 64-бітний Rust-файл із неправдивими даними про NVIDIA.
nvctr_sys.dbSQLite-база для enrollment, server, device, DNS і polling state.
Local\NVIDIAContainerMonitor_SingleInstanceMutex залишає одну копію активною та підтримує маскування під NVIDIA.
Автозапуск HKCU RunInstall mode може додати user-level persistence із закодованими аргументами конфігурації.
pipicka[.]xyzСпостережуваний командний сервер, сторінка якого розкрила назву LabubaPanel.

Як перевірити, чи nvidia-sysruntime.exe є трояном

  1. Знайдіть повний шлях і командний рядок. У Task Manager відкрийте розташування файла. Також перевірте Startup apps і Microsoft Autoruns: підозрілий запис може запускати файл із довгим Base64-подібним аргументом.
  2. Перевірте цифровий підпис. Відкрийте Properties файла та знайдіть вкладку Digital Signatures. Проаналізований зразок LabubaRAT був непідписаним, хоча в metadata вказував NVIDIA Corporation.
  3. Обчисліть hash без запуску. У PowerShell виконайте Get-FileHash -Algorithm SHA256 "C:\path\to\nvidia-sysruntime.exe". Blackpoint опублікувала SHA-256 b7443b0ab48d2f5786d1b6f3a580f02621e9ae5a3877ee3a44e01df13d984328.
  4. Шукайте пов’язані артефакти. Перевірте ту саму папку та профіль користувача на nvctr_sys.db, файли -wal/-shm, неочікувані JavaScript-файли з префіксом wupd_ і значення HKCU Run, яке повторно запускає executable.
  5. Не робіть висновок лише за назвою NVIDIA. Легітимне ПЗ NVIDIA має надходити з NVIDIA, Windows Update або від виробника ПК та мати узгоджені шлях, підпис, історію встановлення й поведінку.

Схожий ризик через підроблене завантаження розглянуто в матеріалі про фейкові інсталятори, ScreenConnect і AsyncRAT. Інший приклад повноцінного RAT із persistence і викраденням даних — Millenium RAT v4.

Що робити, якщо LabubaRAT запускався

  1. Від’єднайте ПК від мережі. Це перериває command polling, передачу файлів, proxying і нові завдання оператора. У керованому середовищі перед очищенням збережіть шлях, command line, hash і потрібні журнали.
  2. Завершіть процес і вимкніть його автозапуск. Не видаляйте сторонні драйвери чи служби NVIDIA. Вимикайте лише підтверджений шкідливий запис і зафіксуйте його початковий шлях та registry value.
  3. Запустіть повне malware-сканування. Після видалення видимого executable можуть залишитися autorun, база даних, scripts, завантажені інструменти або інший payload. Використайте Gridinsoft Anti-Malware, видаліть detections, перезавантажте ПК і повторіть scan, якщо активність повертається.
  4. Повторно перевірте persistence і трафік. Перегляньте Startup, Autoruns, Task Scheduler, services, останні downloads і вихідні DNS/HTTPS-з’єднання. Переконайтеся, що nvidia-sysruntime.exe, nvctr_sys.db і невідомі закодовані launch commands не з’являються знову.
  5. Змініть важливі паролі з чистого пристрою. Звіт не заявляє про окремий password-stealing module, але remote commands, screenshots і file access дають оператору доступ до даних користувача. Після очищення endpoint змініть паролі, завершіть активні сесії та перегляньте MFA.
  6. Перевстановлюйте лише з офіційного джерела. Якщо потрібен справжній компонент NVIDIA, завантажте його з офіційних сторінок NVIDIA, через Windows Update або сайт виробника ПК.
Перевірте NVIDIA-подібний процес, перш ніж довіряти йому

Якщо шлях або цифровий підпис не збігаються, перевірте ПК на приховані служби, записи автозапуску, scripts і завантажені компоненти.

Сканувати залишки LabubaRAT

Кому потрібно діяти?

Реагуйте, якщо збігаються точне ім’я файла або hash, непідписаний NVIDIA-подібний executable запускається з неочікуваного місця, присутні база чи mutex LabubaRAT або процес демонструє remote-control і tunneling behavior. Наявність відеокарти NVIDIA чи підписаних драйверів NVIDIA сама по собі не означає зараження. Первинний звіт не називає масовий спосіб розповсюдження, тому exposure слід підтверджувати артефактами.

Джерела

  1. Sam Decker та Nevan Beal. “LabubaRAT: A Rust Based Remote Access Tool Masquerading as NVIDIA Software.” Blackpoint Cyber Adversary Pursuit Group, 14 липня 2026 року, дата доступу 14 липня 2026 року. Звіт Blackpoint Cyber про LabubaRAT
  2. NVIDIA. “NVIDIA Software.” NVIDIA, дата доступу 14 липня 2026 року. Офіційна сторінка NVIDIA Software

Пишу про те, як зробити життя онлайн комфортним і безпечним. Вірю, що сучасний цифровий світ вартий того, щоб бути його частиною.