Olymp Loader: новая угроза из подполья. Malware-as-a-Service на языке Ассемблера набирает популярность

Изначально проект развивался от концепции ботнета к загрузчику, а затем и к криптеру - инструменту для шифрования других вредоносных программ с целью сокрытия от антивирусов. Встроенные модули кражи данных включают в себя сбор информации из браузеров, мессенджера Telegram и криптокошельков. Подобные сервисы значительно снижают порог входа для киберпреступников начального и среднего уровня, увеличивают объем атак и сокращают время между выпуском новой функции и ее широким использованием. Дорожная карта OLYMPO предполагает превращение Olymp в полноценную платформу MaaS с генератором стагеров, ботнетом, загрузчиком, сканером файлов и криптером.

Продавец OLYMPO утверждает, что за проектом стоит команда из трех человек с более чем 10-летним опытом программирования на Ассемблере. По мере роста клиентской базы разработчик добавлял новые функции, повышал цены и вносил изменения для обхода антивирусного обнаружения. В качестве маркетингового хода OLYMPO заявил, что «не боится» загружать образцы на VirusTotal, поскольку его продукт является FUD. На 5 августа 2025 года актуальный прайс-лист в Telegram-каналах включал три тарифа: классический стаб за 50 долларов, персонализированные изменения в шеллкоде за 100 долларов и уникальный стаб за 200 долларов.

Среди рекламируемых возможностей Olymp Loader - полная реализация на Ассемблере, поддержка загрузки различных типов вредоносных нагрузок (payload), функция автозапуска для сохранения в системе, агрессивное повышение привилегий через UAC-Flood, добавление файла в исключения Защитника Windows (Windows Defender), глубокое XOR-шифрование модулей и нагрузки, а также подписание кода сертификатами. Загрузчик совместим с такими stealers (программами-ворами), как LummaC2 и StealC, используя внедрение кода в легитимные программы.

Общее количество активных клиентов Olymp Loader неизвестно, но в Telegram-канале, где публикуются новости о продукте, насчитывается почти сотня подписчиков. Ранее проект фигурировал под названием «Olymp Botnet», но после ухода веб-разработчика, отвечавшего за панель управления (Command and Control, C2), функционал ботнета и веб-панель (размещавшаяся на olympl[.]top) были удалены. По словам разработчиков, большинство клиентов используют Olymp в первую очередь как криптер, поэтому текущая работа сосредоточена на обновлениях, связанных с анти-анализом и противодействием обнаружению.

OLYMPO ведет активность на множестве подпольных форумов, включая Hackforums, BHF, Lolz Guru и других. Примечателен случай на русскоязычном форуме XSS, где OLYMPO вместо прямых продаж публиковал технические статьи о внутреннем устройстве загрузчика. Такой подход к контент-маркетингу редко встречается в подполье и, вероятно, был призван привлечь технически подкованных пользователей и укрепить репутацию разработчика. Однако после второй публикации аккаунт OLYMPO был забанен, по словам пользователей, из-за отсутствия в Olymp Loader функции исключения стран СНГ, что нарушает правила форума.

Что касается каналов распространения, то Olymp Loader все еще является молодым загрузчиком, и информации о используемых векторах немного. Однако исследователи обнаружили несколько случаев заражения. Так, два бинарных файла загрузчика размещались в виде ассетов релизов на GitHub в репозитории PurpleOrchid65/Testing под видом среды выполнения Node.js, что указывает на таргетирование разработчиков. В других случаях Olymp Loader доставлялся в качестве второй стадии после загрузчика Amadey, что может говорить об использовании клиентами сервисов Pay-Per-Install (PPI). Также злоумышленники маскируют вредоносную программу под легитимное ПО, такое как PuTTY, OpenSSL, Zoom, используя их значки и сертификаты.

После успешного проникновения клиенты Olymp Loader в основном развертывают программы-похитители учетных данных и инструменты удаленного доступа. Согласно статистике, 46% образцов доставляли LummaC2, 31% - WebRAT (также известный как SalatStealer), 15% - QasarRAT и 8% - Raccoon. Все это - массово распространяемые stealers, продаваемые по модели MaaS. Интересно, что в большинстве проанализированных образцов запускались два исполняемых файла, принадлежащих к одному семейству. В трех случаях атакующие использовали встроенный модуль кражи данных из браузеров, доступный непосредственно в Olymp Loader.

Технический анализ показывает, что Olymp Loader непрерывно развивается. В образцах июня 2025 года наблюдалось поведение, связанное с копированием бинарного файла в папку %AppData%, установлением persistence (автозапуска) через скрипт PowerShell и повторным выполнением. К августу 2025 года проект был реструктурирован: нагрузка стала интегрироваться непосредственно в стаб с использованием шифрования и выполняться сразу после отключения Защитника Windows. Для этого, вероятно, использовался публично доступный инструмент Defender Remover. Позже функционал снова изменился, и вместо отключения Защитника стал использоваться более длинный список исключаемых директорий.

В рамках Olymp Loader предлагаются три модуля кражи данных: для браузеров, Telegram и криптокошельков. Модули обновляются независимо, вероятно, для тестирования обнаружения. 6 июля 2025 года была представлена API (Application Programming Interface) для использования пользовательских модулей, что позволяет клиентам работать через собственный прокси-сервер и хранить логи на своем сервере. Анализ модуля для Telegram показал, что он написан на Python, убивает процессы Telegram, собирает данные и делает скриншот, после чего архивирует и пересылает информацию. Браузерный модуль, судя по всему, был полностью переписан к концу июня и также использует API. Исследователи обнаружили, что более ранняя версия браузерного вора, вероятно, основана на открытом исходном коде проекта BrowserSnatch.

Планы OLYMPO часто менялись: проект начинался как ботнет, затем стал загрузчиком, а к августу 2025 года сместил фокус на функционал криптера. Продавец опубликовал дорожную карту, представляющую Olymp как набор инструментов, включающий ботнет, загрузчик, криптер, сервис установки и сканер для тестирования антивирусов. Остается открытым вопрос, сможет ли OLYMPO поддерживать и развивать такую широкую suite (набор) вредоносных продуктов в долгосрочной перспективе.

В целом, OLYMPO собирает комплексное crimeware-решение, объединяющее загрузчик, криптер, планируемый ботнет и вспомогательные сервисы. Если задуманное будет реализовано, это еще больше снизит барьер для малоопытных злоумышленников и ускорит масштабирование стандартных кибератак. Мониторинг разработчиков вредоносного ПО на подпольных форумах и в Telegram позволяет специалистам по кибербезопасности выявлять новые угрозы, отслеживать методы социальной инженерии, изменения в ценах, тестовые загрузки и обучающие материалы до того, как распространение malware достигнет широких масштабов. Проактивное обнаружение угроз дает защитникам возможность принимать превентивные меры.

URLs

• http://fastdownloads.live/dl/putty.exe
• http://jjf.life/OpenSSL/build.exe
• https://classic-offensive.com/Installer.zip
• https://jjf.life/OpenSSL/ZoomClientSetup.exe

SHA256

• 01562cd36b61d517959fdbe5beaef9e1e9462be292c74a49b36a30057d09bc2c
• 02eb774341d84b8c83b448186f3de8db139c52bea2376fec0ac88c7112186fd2
• 048701ffc9b7ccfe4228bfaaa0b98a0518f02c6325c7f59365f863eccb65aa6d
• 14e4884288c1740d5a4b67ac83a890000c3b92f945139b2433bf9746acd14f9b
• 446c7b9ff49c7c0b8ae02b720054e4f09ef60475c92a5d7f2e2b2bdb4ca5de23
• 561809b0c9c67b7d48712ab9e53cf5cc137b94d5a2d8bc65314a2db4c23df99d
• 59b143fd884f8450cf5161954ebf38dbd9c951ecdb13de5e1f6aea01a9f92201
• 60f8b5a6c8621e07124fbec4b9253b913056d1279d6c42fdd99a8b6b14c33e9a
• 60fec45a29a89c1cb10fd793065e8fc39bdae15daf813e3438e8ff6558fb7e2d
• 7bc217f0ee12266d42812af436f494caf599c0705242457a581f64d4eb508904
• 9464a2a1fb53b3a8c783ee4b55bba69cbb74a841f0d06f0cef86a93d607be5ae
• 9d5d474791793300a273c5b6e522c7c3acd6fbb26c4da0421d4ef695c82f3fa5
• c465c1ac750e80ffb4020ec085528ca520b4fca587710ae1a5937bc88e5ad22c
• D167a0c6fdba1175b67f10daf4be218b4d8adf2f81280ba5d1510228a4321bca
• d36da9c3e5e78aa87bcdcd7fc8d3499d85a60b9dd107bf775d759940fc2f2489
• dbe4aaef628f4d392fd25946643424334af4ecb9eb2589884112b465f508ca33
• ee1e27a01b884099a614b8eee78cdb1dd02ffecd6ed9f6a54b7b567b9eab979f
• ff1e159c4c6fcb97c9cb1885796fa4557e1afb92c82ada00f24ae994bffd63e4