Remus: инфостилер на базе Lumma нацелился на корпоративные браузерные хранилища паролей

Stealer

С начала 2026 года на теневом рынке программ-похитителей данных закрепился новый опасный игрок. Вредоносная программа Remus, впервые обнаруженная в феврале 2026 года, стремительно наращивает функциональность и уже получила репутацию законного преемника печально известного похитителя Lumma. Данный экземпляр зловредного кода распространяется по модели "вредоносное ПО как услуга" (Malware-as-a-Service), что означает возможность его аренды любым злоумышленником без глубоких технических знаний.

Описание

Специалисты компании Gen, проводившие анализ образцов, выявили значительное структурное сходство Remus с Lumma. Это сходство, по словам исследователей, фактически подтверждает гипотезу о том, что Remus является эволюцией Lumma. При этом новый инфостилер представляет собой 64-битное приложение и сфокусирован на хищении учётных данных, компрометации пользовательских аккаунтов, перехвате сессий браузеров, снятии скриншотов, краже содержимого буфера обмена и получении доступа к криптовалютным кошелькам.

Особую тревогу вызывает избирательность Remus. Программа нацелена прежде всего на браузеры на движках Chromium и Firefox, а также на браузерные расширения, связанные с управлением паролями и многофакторной аутентификацией (MFA). Иными словами, злоумышленники охотятся не просто за случайными сохранёнными паролями, а за теми, что защищают наиболее критичные учётные записи - корпоративные порталы, системы онлайн-банкинга и облачные сервисы. Получив доступ к этим данным, Remus немедленно отправляет их на сервер управления. Исследователи в своём докладе отмечают, что все проанализированные образцы объединяет несколько общих черт. Во-первых, строго единый размер файла - в пределах 200 килобайт. Во-вторых, все образцы содержат встроенные функции логирования, то есть записи всех действий жертвы. В-третьих, они демонстрируют возможность захвата буфера обмена и пикселей экрана, что позволяет воровать одноразовые коды и пароли, вводимые вручную. В-четвёртых, вредоносная программа совершает множество вызовов API (программных интерфейсов операционной системы) для сбора подробной информации о заражённой системе.

Подобный подход делает Remus особенно опасным для организаций, которые активно используют браузерные менеджеры паролей и расширения для MFA. Если злоумышленник получает контроль над хранилищем паролей, он может скомпрометировать сразу несколько корпоративных систем - от электронной почты до внутренних баз данных. Более того, кража сессионных токенов браузера позволяет обойти MFA, так как аутентификация уже была пройдена, и система считает пользователя доверенным.

Продажа Remus в формате MaaS означает, что порог входа для киберпреступников минимален. Им не требуется уметь писать код или искать уязвимости - достаточно заплатить оператору сервиса и получить доступ к панели управления с уже готовыми инструментами и инструкциями. Это приводит к массовому распространению вредоносных программ за считанные недели после их появления на теневых форумах.

Для обычных пользователей и бизнеса это сигнал о необходимости пересмотреть подходы к хранению паролей. Полагаться исключительно на браузерное хранилище - рискованно. Даже использование двухфакторной аутентификации не спасает, если злоумышленник перехватывает сессию браузера сразу после её прохождения. Специалисты рекомендуют применять выделенные менеджеры паролей с поддержкой аппаратных ключей, а также регулярно очищать кэшированные сессии и использовать режимы браузера с повышенной изоляцией.

Тенденция очевидна: киберпреступники смещают фокус с универсальных троянов на специализированные инструменты, ориентированные на обход MFA и кражу сессионных данных. Remus - лишь очередная, но весьма показательная веха в этом направлении.

Индикаторы компрометации

SHA256

  • 0a8f734f10400f7ae8fef591147e78dab6350089683be84c1cb6c82113cb1319
  • 64db10e76b46be8db36e02993d36559bc3f86606c9ea955731872b716c8f0c69
  • 95700d4d7e8f1970fbb331d7930c68c55e3c3c57cd809751d9a281fd48a8a4df
  • ab2e47720388fa201e242552f8d8b82363c6c52f6c63fa3fec9dce027cb12e77

YARA

Комментарии: 0