Starland RAT у фальшивих інсталяторах Zoom і WebEx

Starland RAT ховається у троянізованих інсталяторах Zoom, WebEx та інших програм. Перевірте закріплення, проскануйте ПК і захистіть паролі та гаманці.

Фальшивий інсталятор розривається та відкриває Starland RAT, який викрадає облікові дані й криптовалюту.

Cisco Talos повідомила про Starland RAT — бекдор для Windows, який поширюють через троянізовані інсталятори під виглядом Zoom, WebEx, MobaXterm, DBeaver і FACEIT. Шкідлива програма може викрадати облікові дані з браузерів і файли криптогаманців, робити знімки екрана, виконувати команди та встановлювати додаткові модулі. Якщо такий інсталятор надійшов із неочікуваної сторінки або команди й був запущений, від’єднайте ПК від мережі та вважайте збережені паролі, сесії й дані гаманців потенційно скомпрометованими до завершення перевірки.

Talos опублікувала дослідження 16 липня 2026 року та відстежує фінансово мотивованого російськомовного зловмисника як UAT-11795. Кампанія працює щонайменше з червня 2025 року; більшість поміченої активності припадає на США, а менші сигнали зафіксовано в Німеччині, Румунії та Венесуелі.

Які інсталятори використовували як приманку Starland RAT?

Дослідники виявили шкідливі копії з назвами, пов’язаними з кількома легітимними програмами для Windows:

Помічена приманкаЩо вона імітує
MobaXterm_v26.1.exeтермінал і засіб віддаленого адміністрування MobaXterm
WebEx_Client.exe та інсталятор Zoomзастосунки для відеозв’язку й спільної роботи
dbeaver-ce-windows-x86_64.exeклієнт баз даних DBeaver Community
FaceitInstaller_x64.exeігрову платформу FACEIT

Сама назва файла не доводить зараження. Talos не повідомляла про компрометацію офіційних постачальників або їхніх сервісів завантаження. Дослідники не змогли підтвердити початковий спосіб доставки й припускають, що інструкція в стилі ClickFix могла змусити жертву запустити HTA-завантажувач, а потім троянізований інсталятор. Практична різниця полягає в джерелі та шляху запуску: пакет, отриманий неочікуваною командою або з неофіційного сайту, не рівнозначний файлу з перевіреного порталу виробника.

Схожий принцип використовують фейкові завантаження зі ScreenConnect і AsyncRAT: знайома назва програми лише пояснює, чому користувача просять запустити неперевірений файл.

Як фальшивий інсталятор запускає Starland RAT

У ланцюжку, який проаналізувала Talos, шкідливий HTA-файл запускається через mshta.exe і завантажує модифікований NSIS-інсталятор. Усередині містяться pythonw.exe і скомпільований Python-завантажувач, замаскований під LICENSE.txt. Він розшифровує та запускає Starland RAT у пам’яті.

Після цього Starland може виконувати команди оболонки або завантажувати 32- і 64-бітний shellcode. Talos спостерігала CastleStealer у 64-бітній гілці та Remcos RAT у 32-бітній. Окремий шлях установлював PowerShell-агент WLDR, який працює в пам’яті та отримує зашифровані завдання від командного сервера.

Схема Cisco Talos із ланцюжком Starland RAT: можлива приманка ClickFix, троянізований інсталятор, CastleStealer, Remcos RAT і агент WLDR.
Cisco Talos показала можливий старт через ClickFix, троянізований NSIS-інсталятор, Starland RAT і три шляхи додаткового навантаження.

Що перевірити: закріплення Starland RAT і крадіжка даних

Видалення видимого інсталятора недостатньо після його запуску. Кампанія використовує кілька незалежних способів закріплення, а Starland може завантажити інші шкідливі програми з власними файлами та налаштуваннями.

Артефакт або поведінкаЧому це важливо
Значення MyApp у HKCU\Software\Microsoft\Windows\CurrentVersion\RunУ поміченому VBScript воно запускає mshta.exe і віддалений HTA під час входу.
Завдання PythonLauncher- і три випадкові символиStarland створює завдання для запуску під час входу та може запитувати підвищені права.
Невідомий ярлик у папці StartupПомічений ярлик запускає pythonw.exe з аргументом LICENSE.txt.
Неочікувані PowerShell, mshta.exe або дочірні процеси після інсталятораВони можуть належати завантажувачу, ланцюжку WLDR або додатковому модулю.
Нові сповіщення про сесії браузера, гаманця, Discord, Telegram або SteamStarland і CastleStealer націлені на облікові дані, сесії та файли гаманців.

Не видаляйте значення реєстру або завдання лише через незнайому назву. Спочатку зафіксуйте команду, шлях, час створення та батьківський процес. Легітимне завдання також може мати загальну назву; підозрілою є комбінація неочікуваного інсталятора з наведеними артефактами та поведінкою.

Що робити після завантаження або запуску підозрілого інсталятора

  1. Якщо файл лише завантажено, не відкривайте його. Залиште його в карантині або видаліть, очистьте список завантажень і отримайте програму з офіційного сайту виробника. Файл на диску — це ще не виконаний ланцюжок атаки.
  2. Якщо інсталятор або скопійована команда запускалися, від’єднайте ПК від мережі. Вимкніть Wi-Fi або від’єднайте Ethernet і не входьте з цього комп’ютера в пошту, банкінг, месенджери чи криптогаманці.
  3. Збережіть хронологію. Запишіть URL, назву файла, команду, час запуску, сповіщення захисту та нові завдання, ярлики, Run-записи й процеси. Організаціям варто залучити команду реагування, оскільки шкідлива програма також збирає дані Active Directory.
  4. Перевірте місця закріплення. Перегляньте Планувальник завдань, Автозапуск, папку Startup, наведений Run-запис, останні завантаження та незвичну активність mshta.exe, pythonw.exe, PowerShell, Remcos або невідомих дочірніх процесів.
  5. Виконайте повне сканування. Видалення інсталятора не прибирає HTA-запис, завдання, ярлик Startup, CastleStealer, Remcos або WLDR. Gridinsoft Anti-Malware допоможе перевірити початковий файл, закріплення та завантажені компоненти. Після очищення перезавантажте ПК і повторіть перевірку, якщо сповіщення чи підозрілі процеси повертаються.
  6. Захистіть акаунти з чистого пристрою. Спочатку завершіть активні сесії, потім змініть збережені в браузері паролі та важливі облікові дані пошти, фінансових сервісів, Discord, Telegram, Steam і робочих систем. Паролі, змінені на зараженому ПК, можуть бути перехоплені повторно.
  7. Вважайте локальні дані гаманця скомпрометованими. Якщо на ПК були доступні розширення гаманця, файл гаманця, приватний ключ або seed-фраза, виконайте процедуру відновлення виробника з чистого пристрою та, за потреби, переведіть активи на нові ключі. Сканування не повертає викрадені секрети й не скасовує завершені транзакції.

Якщо зловмисник отримав права адміністратора, засоби захисту вимикалися, підтверджено додаткові модулі або віддалений доступ повертається після очищення, чисте перевстановлення Windows із довіреного носія надійніше за ручне видалення.

Джерела

  1. Cisco Talos. «UAT-11795 deploys novel Starland RAT and bespoke WLDR C2 implant in financially motivated campaign». Cisco Talos Intelligence Blog, 16 липня 2026 року. Первинне дослідження та індикатори.

Пишу про те, як зробити життя онлайн комфортним і безпечним. Вірю, що сучасний цифровий світ вартий того, щоб бути його частиною.