В мае 2026 года аналитики AhnLab Security intelligence Center (ASEC) зафиксировали существенную активизацию групп, распространяющих программы-похитители данных (infostealers). Сводка подготовлена на основе автоматизированной системы сбора образцов, почтовых ловушек и анализа командных серверов вредоносного ПО. Ключевой вывод: злоумышленники всё активнее используют методы социальной инженерии, маскируя вредоносное ПО под легальные утилиты, и наращивают объёмы заражений через DLL-подгрузку и фишинговые письма.
Описание
Согласно опубликованному [отчёту, основным вектором распространения остаётся имитация нелицензионного программного обеспечения - кряков, кейгенов и "пиратских" сборок. В мае в таких пакетах были обнаружены инфостилеры ACRStealer, Remus и LummaC2. Злоумышленники размещали архивы на общедоступных облачных платформах: Mediafire.com, Mega.nz, а также на S3-хранилищах Amazon Web Services. Два конкретных бакета - springsidefile.s3.us-east-1.amazonaws[.]com и good26.s3.us-east-1.amazonaws[.]com - использовались для хранения заражённых файлов. Пользователи, скачивающие "бесплатный софт", вместо активации получали троян, передающий учётные данные и файлы на удалённый сервер.
Среди компаний, чьи бренды подделывались чаще всего, лидирует Microsoft Corporation. Далее следуют Auslogics, NVIDIA Corporation, Virtual Holding Resources, LLC и Adobe Inc. Поддельные установщики и "патчи" для продуктов этих вендоров содержали исполняемые файлы, которые при запуске инициировали загрузку полезной нагрузки.
В сегменте способов выполнения преобладают EXE-файлы - они составляют 78,9% от всех обнаруженных образцов. Оставшаяся доля приходится на технику DLL-подгрузки (DLL side-loading), когда легитимный исполняемый файл загружает вредоносную библиотеку. В мае для этой цели злоумышленники использовали динамические библиотеки libvlccore.dll, VulcanMessage5.dll, LcMgr.dll и SDL2.dll. Метод позволяет обходить сигнатурные детекторы: антивирус видит подписанный EXE, но не блокирует загрузку вредоносной DLL.
Отдельного внимания заслуживает инфостилер Remus. В мае он начал распространяться в промышленных масштабах: на его долю пришлось 36% всех случаев заражения через поддельные кряки. Ранее Remus встречался реже, но, судя по телеметрии ASEC, его операторы перешли к агрессивной кампании. Параллельно в общей статистике по всем инфостилерам лидирует LummaC2. Также активно фиксировались Vidar, AgentTesla и ACRStealer.
В сегменте электронной почты основными угрозами стали AgentTesla и DarkCloud. Образец AgentTesla, проанализированный в мае, использовал для эксфильтрации данных протокол SMTP - отправлял собранные логи через почтовый сервер. DarkCloud обладает более широким функционалом: способен собирать документы, нажатия клавиш, данные почтовых клиентов, сохранённые пароли в браузерах, снимки экрана и сведения о криптовалютных кошельках. Такие письма маскировались под счета, уведомления о доставке или запросы от HR-отделов.
Отдельная глава отчёта посвящена угрозам для пользователей macOS. В мае 2026 года аналитики собрали 142 вредоносных скрипта для этой операционной системы и 12 доменов командных серверов. Основной метод заражения - ClickFix: пользователя убеждают скопировать команду и вставить её в окно терминала. Например, жертве предлагают "исправить ошибку" в браузере или "установить обновление", а на деле запускается скрипт на языке Bash, скачивающий инфостилер. Альтернативный вектор - прямая загрузка вредоносного Bash-скрипта с внешнего ресурса.
Риски от подобных атак выходят за рамки кражи паролей. Скомпрометированные учётные данные могут быть проданы на теневых форумах или использованы для вторичных вторжений - например, в корпоративные сети через скомпрометированные VPN или RDP. В случае заражения в корпоративной среде инфостилер может дать атакующему доступ к документам, исходным кодам и внутренним системам. Это повышает вероятность развития атаки в полноценный инцидент с программами-вымогателями.
Для снижения рисков пользователям и организациям рекомендуется обновлять антивирусные базы, не запускать исполняемые файлы из ненадёжных источников, отключить автозагрузку макросов в офисных документах и применять двухфакторную аутентификацию для всех критичных сервисов. Администраторам следует настроить оповещения о подозрительных попытках DLL-подгрузки и мониторинг сетевого трафика к незнакомым хостам. Регулярная смена паролей и шифрование конфиденциальных файлов также снижают потенциальный ущерб.
Индикаторы компрометации
Domains
- good26.s3.us-east-1.amazonaws.com
- springsidefile.s3.us-east-1.amazonaws.com
URLs
- http://ablackb.shop:5321/
- http://ciuzdaw.shop:7673/
- http://cloxaa.shop:9895/
- http://comples.biz:8768/
- http://dafkov.shop:6843/
MD5
- 03b24f56cafa09024e80b105c667b027
- 055df00e748fe55d5bbc0bd33067325e
- 0a437c4161b4ed8de7850f8de970824d
- 0b8a891324d65f3d9e08dd04980cb66e
- 0d1f6685b4e284f92ef25c0f9358bcdc
