Апрель 2026 года стал рекордным по количеству новых модификаций программ-похитителей информации. Специалисты южнокорейской компании AhnLab подвели итоги месяца и выявили тревожную тенденцию: злоумышленники всё активнее комбинируют фишинг, SEO-отравление и атаки на пользователей macOS. Особого внимания заслуживает новый инфостилер Remus, который использует нестандартный способ связи с командным центром через блокчейн-смарт-контракты.
Описание
Согласно данным исследования, которое основано на телеметрии собственных продуктов AhnLab, автоматизированной системе сбора данных и почтовых ловушках, общее количество новых образцов вредоносных программ класса инфостилеров (похитителей учётных данных и личной информации) продолжает расти. Основными векторами распространения остаются три канала: маскировка под кряки и кейгены, фишинговые электронные письма и атаки на пользователей операционной системы macOS.
Охота за пиратами
Наибольший объём заражений приходится на пользователей, которые ищут взломанное программное обеспечение. Злоумышленники активно используют SEO-отравление - технику, при которой вредоносные сайты искусственно поднимаются в топ выдачи поисковых систем. Пользователь вводит запрос вроде "скачать кряк для Photoshop", переходит на первый результат и загружает файл, который на самом деле является инфостилером.
В апреле основными представителями этой категории стали ACRStealer, LummaC2 и новый Remus Stealer. Для распространения используются файлообменные сервисы и облачные хранилища. Среди них лидируют два домена, связанных с Amazon S3: springsidefile.s3.us-east-1[.]amazonaws.com, откуда было зафиксировано 404 случая загрузки, и good26.s3.us-east-1.amazonaws.com (204 случая). Популярны также платформы Mega.nz (270 загрузок) и Mediafire.com (185 загрузок).
Интересная деталь: злоумышленники маскируют свои программы под установщики продуктов известных компаний. Чаще всего подделывали файлы Microsoft Corporation (шесть случаев) и Sysinternals - известный набор утилит для системного администрирования (четыре случая). Также в списке подставных организаций оказались JetBrains, Seiko Epson и Cyber Holding Partners.
Что касается технической реализации, то подавляющее большинство образцов (85,9 процента) представляют собой исполняемые файлы формата EXE. Оставшиеся 14,1 процента используют технику DLL-загрузки, когда вредоносная динамическая библиотека загружается легитимным приложением. Чаще всего в качестве прикрытия применялись библиотеки Python: python35.dll (18 случаев), python36.dll (11 случаев) и python315.dll (7 случаев).
Новая угроза из мира криптовалют
Самая заметная новинка месяца - инфостилер Remus. Специалисты AhnLab в своём отчёте подробно разобрали его архитектуру. Программа получает настройки от командного центра (C2 - сервера управления вредоносной сетью) последовательно, в несколько этапов. Сначала она собирает информацию, затем отправляет результаты и запрашивает следующую порцию команд. Такой подход усложняет обнаружение.
Но главная изюминка Remus - использование техники Dead Drop Resolver. Вместо прямой связи с сервером злоумышленника программа обращается к смарт-контрактам в сети Ethereum через публичный шлюз eth.llamarpc.com. Это значит, что команды для похитителя хранятся в блокчейне, и их крайне трудно заблокировать или подменить. Связь с самим C2 шифруется с помощью алгоритма ChaCha20, причём для входящего и исходящего трафика используются разные криптографические ключи.
На момент анализа командный центр Remus был настроен на кражу данных из почтовых клиентов, FTP-клиентов, криптовалютных кошелёвков, а также текстовых файлов по определённым путям или с определённым содержимым. Более того, на финальной стадии программа могла загружать и запускать дополнительные вредоносные модули. Это делает Remus не просто похитителем, а полноценным загрузчиком, который может превратить заражённую систему в плацдарм для дальнейших атак.
Атаки на пользователей macOS
Экосистема Apple не осталась в стороне. Злоумышленники активно используют технику ClickFix: пользователя заманивают на сайт, где ему предлагают скопировать команду и вставить её в терминал якобы для решения какой-то проблемы. На самом деле команда запускает вредоносный Bash-скрипт. В апреле исследователи собрали 800 таких скриптов и выявили 33 командных сервера, управлявших заражёнными машинами. Метод ClickFix особенно опасен, потому что он обходит многие традиционные антивирусные защиты - пользователь сам запускает вредоносный код.
Фишинг с акцентом на промышленность
Распространение через электронную почту остаётся классикой жанра. В апреле зафиксированы две показательные кампании. В первой случае письма маскировались под сообщения от производственной компании из Пакистана, и в роли вредоносной нагрузки выступал хорошо известный AgentTesla. Этот инфостилер может отправлять украденные данные через FTP, Telegram или по протоколу SMTP (электронная почта). В проанализированном образце использовалась именно SMTP-схема.
Вторая кампания притворялась перепиской от производителя из США, но распространяла DarkCloud - стилер, который умеет собирать офисные документы, логи клавиатуры, данные почтовых клиентов, информацию из браузеров, скриншоты и сведения из криптовалютных кошельков. Этот образец также использовал SMTP для отправки данных.
Лидеры рейтинга
Если говорить об общей статистике, то первое место по количеству обнаруженных образцов занял инфостилер LummaC2. За ним следуют Vidar, AgentTesla и ACRStealer. Все эти программы активно продаются в даркнете в виде сервиса "вредоносное ПО как услуга", что позволяет даже неопытным злоумышленникам запускать масштабные кампании за небольшие деньги.
Что это значит для бизнеса и для обычных пользователей
Информация, украденная инфостилерами, не лежит мёртвым грузом. Она уходит на чёрный рынок, где её покупают для организации целевых фишинговых атак, взлома корпоративных сетей или мошенничества с банковскими счетами. Украденные пароли от рабочей почты могут стать входной точкой для программ-вымогателей. Особенно опасна ситуация с Remus: будучи относительно новым, он ещё может не детектироваться многими антивирусами, а его архитектура с блокчейн-командами делает анализ крайне сложным.
Злоумышленники не стоят на месте. Они комбинируют старые методы - пиратский софт и фишинг - с новыми технологиями вроде блокчейна и атак на пользователей macOS. Единственный способ минимизировать риски - соблюдать базовую цифровую гигиену: не скачивать кряки и кейгены, не открывать подозрительные вложения, использовать надёжные пароли и двухфакторную аутентификацию, хранить важные документы в зашифрованном виде и своевременно обновлять антивирусное программное обеспечение. Инфостилеры остаются одной из самых коварных угроз, потому что они действуют незаметно, а последствия их активности могут проявиться спустя недели или месяцы.
Индикаторы компрометации
URLs
- http://diggero.biz:8521/
- http://fightwa.biz:5902/
- http://fiinterchillers.com/wp-content/uploads/UVALnVYm.exe
- http://firewai.biz:48261/
- http://iuta.today:8521/
MD5
- 05259414fde93e1fe88b89211392580f
- 05c7472954019bb04e98c709287e6981
- 0d94615194b814b339a4ff6624eca249
- 167629efa400492f62c344281a826beb
- 26a6ca061e5763b91eedb767b5494fd5
