Cisco Talos повідомила про Starland RAT — бекдор для Windows, який поширюють через троянізовані інсталятори під виглядом Zoom, WebEx, MobaXterm, DBeaver і FACEIT. Шкідлива програма може викрадати облікові дані з браузерів і файли криптогаманців, робити знімки екрана, виконувати команди та встановлювати додаткові модулі. Якщо такий інсталятор надійшов із неочікуваної сторінки або команди й був запущений, від’єднайте ПК від мережі та вважайте збережені паролі, сесії й дані гаманців потенційно скомпрометованими до завершення перевірки.
Talos опублікувала дослідження 16 липня 2026 року та відстежує фінансово мотивованого російськомовного зловмисника як UAT-11795. Кампанія працює щонайменше з червня 2025 року; більшість поміченої активності припадає на США, а менші сигнали зафіксовано в Німеччині, Румунії та Венесуелі.
Які інсталятори використовували як приманку Starland RAT?
Дослідники виявили шкідливі копії з назвами, пов’язаними з кількома легітимними програмами для Windows:
| Помічена приманка | Що вона імітує |
|---|---|
MobaXterm_v26.1.exe | термінал і засіб віддаленого адміністрування MobaXterm |
WebEx_Client.exe та інсталятор Zoom | застосунки для відеозв’язку й спільної роботи |
dbeaver-ce-windows-x86_64.exe | клієнт баз даних DBeaver Community |
FaceitInstaller_x64.exe | ігрову платформу FACEIT |
Сама назва файла не доводить зараження. Talos не повідомляла про компрометацію офіційних постачальників або їхніх сервісів завантаження. Дослідники не змогли підтвердити початковий спосіб доставки й припускають, що інструкція в стилі ClickFix могла змусити жертву запустити HTA-завантажувач, а потім троянізований інсталятор. Практична різниця полягає в джерелі та шляху запуску: пакет, отриманий неочікуваною командою або з неофіційного сайту, не рівнозначний файлу з перевіреного порталу виробника.
Схожий принцип використовують фейкові завантаження зі ScreenConnect і AsyncRAT: знайома назва програми лише пояснює, чому користувача просять запустити неперевірений файл.
Як фальшивий інсталятор запускає Starland RAT
У ланцюжку, який проаналізувала Talos, шкідливий HTA-файл запускається через mshta.exe і завантажує модифікований NSIS-інсталятор. Усередині містяться pythonw.exe і скомпільований Python-завантажувач, замаскований під LICENSE.txt. Він розшифровує та запускає Starland RAT у пам’яті.
Після цього Starland може виконувати команди оболонки або завантажувати 32- і 64-бітний shellcode. Talos спостерігала CastleStealer у 64-бітній гілці та Remcos RAT у 32-бітній. Окремий шлях установлював PowerShell-агент WLDR, який працює в пам’яті та отримує зашифровані завдання від командного сервера.

Що перевірити: закріплення Starland RAT і крадіжка даних
Видалення видимого інсталятора недостатньо після його запуску. Кампанія використовує кілька незалежних способів закріплення, а Starland може завантажити інші шкідливі програми з власними файлами та налаштуваннями.
| Артефакт або поведінка | Чому це важливо |
|---|---|
Значення MyApp у HKCU\ | У поміченому VBScript воно запускає mshta.exe і віддалений HTA під час входу. |
Завдання PythonLauncher- і три випадкові символи | Starland створює завдання для запуску під час входу та може запитувати підвищені права. |
| Невідомий ярлик у папці Startup | Помічений ярлик запускає pythonw.exe з аргументом LICENSE.txt. |
Неочікувані PowerShell, mshta.exe або дочірні процеси після інсталятора | Вони можуть належати завантажувачу, ланцюжку WLDR або додатковому модулю. |
| Нові сповіщення про сесії браузера, гаманця, Discord, Telegram або Steam | Starland і CastleStealer націлені на облікові дані, сесії та файли гаманців. |
Не видаляйте значення реєстру або завдання лише через незнайому назву. Спочатку зафіксуйте команду, шлях, час створення та батьківський процес. Легітимне завдання також може мати загальну назву; підозрілою є комбінація неочікуваного інсталятора з наведеними артефактами та поведінкою.
Що робити після завантаження або запуску підозрілого інсталятора
- Якщо файл лише завантажено, не відкривайте його. Залиште його в карантині або видаліть, очистьте список завантажень і отримайте програму з офіційного сайту виробника. Файл на диску — це ще не виконаний ланцюжок атаки.
- Якщо інсталятор або скопійована команда запускалися, від’єднайте ПК від мережі. Вимкніть Wi-Fi або від’єднайте Ethernet і не входьте з цього комп’ютера в пошту, банкінг, месенджери чи криптогаманці.
- Збережіть хронологію. Запишіть URL, назву файла, команду, час запуску, сповіщення захисту та нові завдання, ярлики, Run-записи й процеси. Організаціям варто залучити команду реагування, оскільки шкідлива програма також збирає дані Active Directory.
- Перевірте місця закріплення. Перегляньте Планувальник завдань, Автозапуск, папку Startup, наведений Run-запис, останні завантаження та незвичну активність
mshta.exe,pythonw.exe, PowerShell, Remcos або невідомих дочірніх процесів. - Виконайте повне сканування. Видалення інсталятора не прибирає HTA-запис, завдання, ярлик Startup, CastleStealer, Remcos або WLDR. Gridinsoft Anti-Malware допоможе перевірити початковий файл, закріплення та завантажені компоненти. Після очищення перезавантажте ПК і повторіть перевірку, якщо сповіщення чи підозрілі процеси повертаються.
- Захистіть акаунти з чистого пристрою. Спочатку завершіть активні сесії, потім змініть збережені в браузері паролі та важливі облікові дані пошти, фінансових сервісів, Discord, Telegram, Steam і робочих систем. Паролі, змінені на зараженому ПК, можуть бути перехоплені повторно.
- Вважайте локальні дані гаманця скомпрометованими. Якщо на ПК були доступні розширення гаманця, файл гаманця, приватний ключ або seed-фраза, виконайте процедуру відновлення виробника з чистого пристрою та, за потреби, переведіть активи на нові ключі. Сканування не повертає викрадені секрети й не скасовує завершені транзакції.
Якщо зловмисник отримав права адміністратора, засоби захисту вимикалися, підтверджено додаткові модулі або віддалений доступ повертається після очищення, чисте перевстановлення Windows із довіреного носія надійніше за ручне видалення.
Джерела
- Cisco Talos. «UAT-11795 deploys novel Starland RAT and bespoke WLDR C2 implant in financially motivated campaign». Cisco Talos Intelligence Blog, 16 липня 2026 року. Первинне дослідження та індикатори.
