Информационные воры адаптируются: Python-скрипты и Tor для атак на криптокошельки

Декабрь 2025 года продемонстрировал устойчивую активность злоумышленников, распространяющих Infostealer - вредоносное ПО для кражи данных. Согласно ежемесячному отчёту AhnLab Security Intelligence Center (ASEC), киберпреступники продолжают совершенствовать методы маскировки и доставки, активно используя SEO-отравление и взломанные легитимные сайты. Эксперты также выделили две новые тревожные тенденции: использование Python-скриптов для скрытной загрузки вредоносных программ и распространение специализированных ворующих криптовалюту троянов, маскирующих свой трафик через сеть Tor.

Описание

Основным каналом распространения инфостилеров, таких как ACRStealer, LummaC2 и Stealc, остаётся стратегия SEO-отравления. Злоумышленники размещают на скомпрометированных или специально созданных веб-ресурсах посты с предложением скачать «кряки» или ключи для взлома программного обеспечения. Эти посты искусственно поднимаются в результатах поисковых систем, привлекая жертв. Примечательно, что для обхода фильтров поисковиков злоумышленники всё чаще переходят от создания собственных блогов к взлому и использованию легитимных, но плохо защищённых сайтов, особенно на платформе WordPress. Например, наблюдались случаи публикации вредоносных ссылок даже на сайтах местных газет.

Анализ исполняемых файлов показывает, что в декабре 65.8% вредоносных программ распространялись в формате EXE. Оставшиеся 34.2% использовали технику DLL Sideloading, когда вредоносная библиотека подгружается при запуске легитимного исполняемого файла. Хотя доля атак с использованием DLL Sideloading снизилась по сравнению с ноябрём, такие файлы остаются опасными из-за высокого сходства с оригинальными подписанными библиотеками, что иногда позволяет им обходить средства защиты.

Первая новая тенденция, обозначенная аналитиками ASEC, - это злоупотребление Python для доставки вредоносной нагрузки (англ. payload). Вместо модификации DLL-файлов, злоумышленники стали напрямую встраивать вредоносный код в легитимные скрипты Python (.py) внутри стандартной библиотеки. Затем этот модифицированный скрипт пакуется в архив вместе с легитимным исполняемым файлом Python. При запуске этого файла автоматически исполняется и зловредный скрипт, что позволяет незаметно загрузить на компьютер троян, например, ACRStealer. Этот метод, названный Python Sideloading, обходит традиционные механизмы проверки, сфокусированные на бинарных файлах.

Вторая значимая тенденция - рост кампаний по распространению специализированного вредоносного ПО для кражи криптовалюты с использованием сети Tor для скрытия командного сервера (C2). Вредоносное ПО распространяется через скомпрометированные сайты WordPress, где пользователю предлагается ввести капчу. После этого отображается вредоносная команда PowerShell, которую жертве предлагают скопировать и выполнить вручную. После выполнения команды на компьютер загружается троянец, который создаёт в системе несколько компонентов, включая скрипт на JavaScript и клиент Tor.

Для обеспечения постоянного присутствия (persistence) JavaScript-файл регистрируется в Планировщике задач Windows. При запуске он активирует клиент Tor, через который устанавливается скрытное соединение с C2-сервером в анонимной сети. Основная функция этого вредоносного ПО - мониторинг буфера обмена. При обнаружении адреса криптокошелька он подменяет его на адрес злоумышленника. Кроме того, программа ищет и похищает сид-фразы стандарта BIP39, которые используются для восстановления доступа к кошелькам, что даёт атакующим полный контроль над средствами жертвы.

Отчёт ASEC наглядно демонстрирует, что угрозы класса Infostealer постоянно эволюционируют, становясь более изощрёнными и целевыми. Атаки теперь нацелены не только на учётные данные и cookies, но и напрямую на финансовые активы пользователей в виде криптовалюты. Использование легитимных инструментов, таких как Python, и инфраструктур, подобных Tor, значительно усложняет их обнаружение и блокировку. Эксперты подчёркивают, что безопасность требует комплексного подхода, включающего регулярное обучение пользователей, установку обновлений и использование современных защитных решений, способных анализировать поведение и выявлять скрытые сетевые подключения.