Blackpoint Cyber виявила LabubaRAT — раніше неописаний троян віддаленого доступу на Rust, який маскується під програмне забезпечення NVIDIA у Windows. Проаналізований файл nvidia-sysruntime.exe не мав цифрового підпису, але називав себе «NVIDIA Container Runtime Monitor». Якщо саме цей файл запускався на ПК, ситуацію слід розглядати як віддалений контроль системи, а не як проблему графічного драйвера.
Звіт не описує вразливість продуктів NVIDIA і не доводить, що кожен процес із назвою NVIDIA є шкідливим. Важлива комбінація ознак: неочікуваний виконуваний файл, відсутній дійсний підпис, несправжні metadata виробника, артефакти LabubaRAT і поведінка засобу віддаленого керування.

Що LabubaRAT може робити у Windows
LabubaRAT — це повноцінний remote-access implant, а не невеликий downloader. Він може збирати відомості про ПК і встановлені засоби захисту, запускати завдання через cmd.exe, PowerShell або JavaScript, робити знімки екрана, передавати файли, створювати архіви та перетворювати заражений комп’ютер на SOCKS5-проксі. Для зв’язку підтримуються HTTPS polling, WebView2 і DNS tunneling.
| Артефакт | Чому це важливо |
|---|---|
nvidia-sysruntime.exe | Непідписаний 64-бітний Rust-файл із неправдивими даними про NVIDIA. |
nvctr_sys.db | SQLite-база для enrollment, server, device, DNS і polling state. |
Local\ | Mutex залишає одну копію активною та підтримує маскування під NVIDIA. |
| Автозапуск HKCU Run | Install mode може додати user-level persistence із закодованими аргументами конфігурації. |
pipicka[.]xyz | Спостережуваний командний сервер, сторінка якого розкрила назву LabubaPanel. |
Як перевірити, чи nvidia-sysruntime.exe є трояном
- Знайдіть повний шлях і командний рядок. У Task Manager відкрийте розташування файла. Також перевірте Startup apps і Microsoft Autoruns: підозрілий запис може запускати файл із довгим Base64-подібним аргументом.
- Перевірте цифровий підпис. Відкрийте Properties файла та знайдіть вкладку Digital Signatures. Проаналізований зразок LabubaRAT був непідписаним, хоча в metadata вказував NVIDIA Corporation.
- Обчисліть hash без запуску. У PowerShell виконайте
Get-FileHash -Algorithm SHA256 "C:\path\to\nvidia-sysruntime.exe". Blackpoint опублікувала SHA-256b7443b0ab48d2f57.86d1b6f3a580f026 21e9ae5a3877ee3a 44e01df13d984328 - Шукайте пов’язані артефакти. Перевірте ту саму папку та профіль користувача на
nvctr_sys.db, файли-wal/-shm, неочікувані JavaScript-файли з префіксомwupd_і значення HKCU Run, яке повторно запускає executable. - Не робіть висновок лише за назвою NVIDIA. Легітимне ПЗ NVIDIA має надходити з NVIDIA, Windows Update або від виробника ПК та мати узгоджені шлях, підпис, історію встановлення й поведінку.
Схожий ризик через підроблене завантаження розглянуто в матеріалі про фейкові інсталятори, ScreenConnect і AsyncRAT. Інший приклад повноцінного RAT із persistence і викраденням даних — Millenium RAT v4.
Що робити, якщо LabubaRAT запускався
- Від’єднайте ПК від мережі. Це перериває command polling, передачу файлів, proxying і нові завдання оператора. У керованому середовищі перед очищенням збережіть шлях, command line, hash і потрібні журнали.
- Завершіть процес і вимкніть його автозапуск. Не видаляйте сторонні драйвери чи служби NVIDIA. Вимикайте лише підтверджений шкідливий запис і зафіксуйте його початковий шлях та registry value.
- Запустіть повне malware-сканування. Після видалення видимого executable можуть залишитися autorun, база даних, scripts, завантажені інструменти або інший payload. Використайте Gridinsoft Anti-Malware, видаліть detections, перезавантажте ПК і повторіть scan, якщо активність повертається.
- Повторно перевірте persistence і трафік. Перегляньте Startup, Autoruns, Task Scheduler, services, останні downloads і вихідні DNS/HTTPS-з’єднання. Переконайтеся, що
nvidia-sysruntime.exe,nvctr_sys.dbі невідомі закодовані launch commands не з’являються знову. - Змініть важливі паролі з чистого пристрою. Звіт не заявляє про окремий password-stealing module, але remote commands, screenshots і file access дають оператору доступ до даних користувача. Після очищення endpoint змініть паролі, завершіть активні сесії та перегляньте MFA.
- Перевстановлюйте лише з офіційного джерела. Якщо потрібен справжній компонент NVIDIA, завантажте його з офіційних сторінок NVIDIA, через Windows Update або сайт виробника ПК.
Якщо шлях або цифровий підпис не збігаються, перевірте ПК на приховані служби, записи автозапуску, scripts і завантажені компоненти.
Кому потрібно діяти?
Реагуйте, якщо збігаються точне ім’я файла або hash, непідписаний NVIDIA-подібний executable запускається з неочікуваного місця, присутні база чи mutex LabubaRAT або процес демонструє remote-control і tunneling behavior. Наявність відеокарти NVIDIA чи підписаних драйверів NVIDIA сама по собі не означає зараження. Первинний звіт не називає масовий спосіб розповсюдження, тому exposure слід підтверджувати артефактами.
Джерела
- Sam Decker та Nevan Beal. “LabubaRAT: A Rust Based Remote Access Tool Masquerading as NVIDIA Software.” Blackpoint Cyber Adversary Pursuit Group, 14 липня 2026 року, дата доступу 14 липня 2026 року. Звіт Blackpoint Cyber про LabubaRAT
- NVIDIA. “NVIDIA Software.” NVIDIA, дата доступу 14 липня 2026 року. Офіційна сторінка NVIDIA Software
