Инфостилеры в октябре 2025: рост атак через легитимные сайты и DLL Side-Loading

Злоумышленники активно используют технику SEO poisoning, манипулируя результатами поисковых систем для продвижения вредоносных ссылок. Раньше киберпреступники создавали собственные блоги для распространения угроз. Однако теперь они перешли к размещению вредоносных материалов на легитимных площадках, включая известные форумы, корпоративные Q&A-страницы и даже комментарии. Это позволяет обходить фильтры поисковиков и привлекать больше жертв. Например, зафиксированы случаи публикации фишинговых постов на Slideshare.net и YouTube.com.

Особенностью октября стало доминирование метода DLL Side-Loading, при котором злоумышленники размещают легитимный EXE-файл и вредоносную DLL в одной папке. При запуске легитимной программы загружается и вредоносная библиотека. Доля таких образцов составила 55%, что значительно превышает показатели предыдущего месяца. LummaC2 распространяется преимущественно в формате EXE, тогда как ACRStealer чаще использует DLL Side-Loading. Вредоносные DLL модифицируются частично, сохраняя сходство с оригинальными файлами, что может приводить к ложноотрицательным срабатываниям в некоторых системах защиты.

Эксперты выделили два ключевых тренда. Во-первых, массовое распространение нового загрузчика (Loader), который соединяется с командным сервером (C2) и выполняет команды, включая установку дополнительного вредоносного ПО или запуск скриптов PowerShell. Этот загрузчик использует уникальные пути, такие как "/nfront.php" и "/nback.php", для получения конфигурации и отправки результатов. Например, в одном из случаев конфигурация использовалась для загрузки инфостилера Rhadamanthys и подмены браузерных плагинов вредоносными скриптами.

Во-вторых, динамика распространения LummaC2 демонстрирует периоды спада и роста активности. Это может указывать на смену тактики атакующих или переход на другие семейства вредоносных программ. Специалисты рекомендуют усилить мониторинг подобных колебаний для своевременного обновления защитных мер.

Для сбора данных ASEC использовала автоматизированные системы, включая сборщик вредоносных программ, маскирующихся под взломанное ПО, почтовые ловушки (honeypot) и анализаторы C2-серверов. Собранные индикаторы компрометации (IOC) публикуются в сервисе ATIP в реальном времени. При этом значительная часть образцов, обнаруженных AhnLab, отсутствовала в базе VirusTotal на момент сбора, что подчеркивает важность проактивного мониторинга.

В октябре 45% образцов распространялись в формате EXE, а 55% - через DLL Side-Loading. Это свидетельствует о растущей популярности более скрытных методов. Эксперты напоминают, что атаки через легитимные сайты усложняют Detection and Response. Кроме того, использование PowerShell для выполнения вредоносных сценариев требует усиленного контроля над скриптовыми компонентами.

Таким образом, текущие тренды указывают на усложнение методов распространения инфостилеров. Злоумышленники активно адаптируются к мерам защиты, используя легитимные ресурсы и техники уклонения. Организациям рекомендуется применять многоуровневую защиту, включая анализ сетевого трафика, контроль целостности ПО и обучение сотрудников кибергигиене. Полная версия отчета с детальной статистикой доступна на платформе ATIP.

Domains

• www.mirado.website

URLs

• http://www.mirado.website/tu4v/
• https://drive.google.com/uc?export=download&id=1d60lgwqA-lb1KhoCorPwcSe3a2kQTEir
• https://evgshippingline.com/nback.php
• https://evgshippingline.com/nfront.php
• https://jpg.namaramalan.com/6joCvF/2110.txt

MD5

• 0223b36e193979cf72ff7dae6d2493c7
• 046a0e41374a937d30f6984a6b760b17
• 145934077f8c72f43714a6dc1567aaa2
• 158c6462ec5d3c9ea8066e6ee58d8861
• 1813d31726e022f0ee97c9e278bc3eed