Исследователи в области кибербезопасности обнаружили новый инструмент удаленного доступа, созданный русскоязычными разработчиками. Распространение этого набора утилит, получившего название CTRL Toolkit, происходит через замаскированные ярлыки Windows — LNK-файлы, которые внешне выглядят как папки с приватными ключами. Пользователь, не подозревая об угрозе, дважды кликает по такому файлу и запускает цепочку заражения.
Как сообщают специалисты компании Censys, CTRL Toolkit написан на платформе .NET и включает в себя несколько исполняемых модулей. С их помощью злоумышленники могут похищать учетные данные, перехватывать нажатия клавиш, угонять сеансы удаленного рабочего стола (RDP) и организовывать обратное туннелирование через Fast Reverse Proxy (FRP). Проще говоря, атакующий получает полный контроль над компьютером жертвы, оставаясь в тени.
Цепочка заражения начинается с LNK-файла, названного, например, «Private Key #kfxm7p9q_yek.lnk». Визуально он имитирует папку, чтобы усыпить бдительность. После открытия запускается скрытая команда PowerShell. Она стирает старые методы закрепления в системе (например, записи в автозагрузке), затем декодирует зашифрованный фрагмент кода и выполняет его прямо в оперативной памяти — это помогает избежать обнаружения антивирусами.
Далее вредоносный загрузчик проверяет соединение с удаленным сервером (в данном случае использовался адрес hui228[.]ru:7000) и скачивает следующие компоненты. Параллельно он изменяет правила брандмауэра, создает новые учетные записи в системе для скрытого входа, настраивает автоматический запуск через планировщик заданий и открывает командную оболочку (cmd.exe) на порту 5267, доступ к которой осуществляется через FRP-туннель.
Один из загруженных файлов — ctrl.exe — выполняет роль загрузчика для главного управляющего модуля, который разработчики назвали CTRL Management Platform. Этот модуль может работать в двух режимах: серверном (на машине жертвы) и клиентском (на машине атакующего). Общение между ними происходит через локальный канал Windows Named Pipe, что означает: весь командный трафик остается внутри зараженного компьютера, а по сети передается только сам сеанс RDP. Такой подход оставляет минимальное количество следов для сетевого мониторинга.
Сбор информации о системе — версия Windows, установленное ПО, конфигурация сети.
Кейлоггер — перехват всех нажатий клавиш с сохранением в файл «C:Tempkeylog.txt». Работает как фоновый сервис, устанавливая глобальный перехватчик клавиатуры.
Кражу PIN-кода — на экран выводится поддельное окно Windows Hello, имитирующее запрос PIN-кода. Жертва вводит свой код, который программа проверяет через реальную систему авторизации. Если PIN неверный, появляется сообщение об ошибке, и окно остается открытым — так пользователя заставляют вводить код снова и снова, пока он не будет введен верно. Перехваченный PIN сохраняется в тот же файл, что и данные кейлоггера.
Фишинговые уведомления — модуль может отправлять всплывающие тост-уведомления, маскируясь под браузеры: Chrome, Edge, Brave, Opera, Opera GX, Vivaldi, Yandex и Iron. Эти уведомления используются для выманивания дополнительных учетных данных или доставки следующей стадии вредоносного ПО.
В атаке также задействованы два вспомогательных компонента:
FRPWrapper.exe — написан на Go и загружается в память для создания обратных туннелей, через которые атакующий получает доступ к RDP и командной оболочке.
RDPWrapper.exe — снимает ограничения на количество одновременных RDP-сессий, позволяя нескольким злоумышленникам подключаться к системе параллельно.
Особенность CTRL Toolkit в том, что он создан с оглядкой на операционную безопасность. Ни один из трех основных бинарных файлов не содержит жестко прописанных адресов серверов управления. Вся утечка данных идет через FRP-туннель: злоумышленник подключается к рабочему столу жертвы и читает логи клавиатуры через Named Pipe, не отправляя их по сети в виде явных сигналов. Это делает атаку менее заметной для традиционных систем обнаружения вторжений, которые ориентированы на поиск регулярных «маяков» (beacon-запросов) от коммерческих RAT-программ.
Чтобы комментировать, зарегистрируйтесь или авторизуйтесь
С начала 2025 года на карте киберугроз появился новый игрок, который за короткий срок превратился из малоизвестной группы в одну из самых серьезных проблем для российского бизнеса. Прокси-украинское хакерское объединение Bearlyfy (также известное как Labubu) провело более семидесяти атак на российские компании, и с марта 2026 года арсенал злоумышленников пополнился собственным инструментом — шифровальщиком GenieLocker.
Мировой рынок полупроводников продолжает испытывать колоссальную нагрузку, и, судя по последним прогнозам, дефицит оперативной памяти не только не спадает, но и будет усугубляться. Причина — стремительное развитие технологий автономного вождения и робототехники. По оценкам компании Micron, полностью беспилотные автомобили будут оснащаться не менее чем 300 гигабайтами DRAM, и аналогичный объём памяти потребуется современным роботизированным системам.
Компания Google анонсировала новый механизм установки приложений на Android, который требует обязательного 24-часового ожидания при загрузке программ от непроверенных разработчиков. Это решение призвано найти баланс между открытостью экосистемы и безопасностью пользователей.