С начала 2026 года на теневом рынке программ-похитителей данных закрепился новый опасный игрок. Вредоносная программа Remus, впервые обнаруженная в феврале 2026 года, стремительно наращивает функциональность и уже получила репутацию законного преемника печально известного похитителя Lumma. Данный экземпляр зловредного кода распространяется по модели "вредоносное ПО как услуга" (Malware-as-a-Service), что означает возможность его аренды любым злоумышленником без глубоких технических знаний.
Описание
Специалисты компании Gen, проводившие анализ образцов, выявили значительное структурное сходство Remus с Lumma. Это сходство, по словам исследователей, фактически подтверждает гипотезу о том, что Remus является эволюцией Lumma. При этом новый инфостилер представляет собой 64-битное приложение и сфокусирован на хищении учётных данных, компрометации пользовательских аккаунтов, перехвате сессий браузеров, снятии скриншотов, краже содержимого буфера обмена и получении доступа к криптовалютным кошелькам.
Особую тревогу вызывает избирательность Remus. Программа нацелена прежде всего на браузеры на движках Chromium и Firefox, а также на браузерные расширения, связанные с управлением паролями и многофакторной аутентификацией (MFA). Иными словами, злоумышленники охотятся не просто за случайными сохранёнными паролями, а за теми, что защищают наиболее критичные учётные записи - корпоративные порталы, системы онлайн-банкинга и облачные сервисы. Получив доступ к этим данным, Remus немедленно отправляет их на сервер управления. Исследователи в своём докладе отмечают, что все проанализированные образцы объединяет несколько общих черт. Во-первых, строго единый размер файла - в пределах 200 килобайт. Во-вторых, все образцы содержат встроенные функции логирования, то есть записи всех действий жертвы. В-третьих, они демонстрируют возможность захвата буфера обмена и пикселей экрана, что позволяет воровать одноразовые коды и пароли, вводимые вручную. В-четвёртых, вредоносная программа совершает множество вызовов API (программных интерфейсов операционной системы) для сбора подробной информации о заражённой системе.
Подобный подход делает Remus особенно опасным для организаций, которые активно используют браузерные менеджеры паролей и расширения для MFA. Если злоумышленник получает контроль над хранилищем паролей, он может скомпрометировать сразу несколько корпоративных систем - от электронной почты до внутренних баз данных. Более того, кража сессионных токенов браузера позволяет обойти MFA, так как аутентификация уже была пройдена, и система считает пользователя доверенным.
Продажа Remus в формате MaaS означает, что порог входа для киберпреступников минимален. Им не требуется уметь писать код или искать уязвимости - достаточно заплатить оператору сервиса и получить доступ к панели управления с уже готовыми инструментами и инструкциями. Это приводит к массовому распространению вредоносных программ за считанные недели после их появления на теневых форумах.
Для обычных пользователей и бизнеса это сигнал о необходимости пересмотреть подходы к хранению паролей. Полагаться исключительно на браузерное хранилище - рискованно. Даже использование двухфакторной аутентификации не спасает, если злоумышленник перехватывает сессию браузера сразу после её прохождения. Специалисты рекомендуют применять выделенные менеджеры паролей с поддержкой аппаратных ключей, а также регулярно очищать кэшированные сессии и использовать режимы браузера с повышенной изоляцией.
Тенденция очевидна: киберпреступники смещают фокус с универсальных троянов на специализированные инструменты, ориентированные на обход MFA и кражу сессионных данных. Remus - лишь очередная, но весьма показательная веха в этом направлении.
Индикаторы компрометации
SHA256
- 0a8f734f10400f7ae8fef591147e78dab6350089683be84c1cb6c82113cb1319
- 64db10e76b46be8db36e02993d36559bc3f86606c9ea955731872b716c8f0c69
- 95700d4d7e8f1970fbb331d7930c68c55e3c3c57cd809751d9a281fd48a8a4df
- ab2e47720388fa201e242552f8d8b82363c6c52f6c63fa3fec9dce027cb12e77
YARA
| 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 | import "pe" rule Remus_Infostealer{ meta: author = "Evelyne Diaz Araque (evadiaz@stairwell.com)" date = "2026-06-07" description = "Remus stealer." hash0 = "0a8f734f10400f7ae8fef591147e78dab6350089683be84c1cb6c82113cb1319" hash1 = "64db10e76b46be8db36e02993d36559bc3f86606c9ea955731872b716c8f0c69" hash2 = "95700d4d7e8f1970fbb331d7930c68c55e3c3c57cd809751d9a281fd48a8a4df" hash3 = "ab2e47720388fa201e242552f8d8b82363c6c52f6c63fa3fec9dce027cb12e77" strings: $r0 = "# REMUS LOG" ascii wide $r1 = "REMUS" ascii wide $s0 = "BitBlt" ascii wide $s1 = "OpenClipboard" ascii wide $s3 = "GetComputerNameA" ascii wide $s4 = "GetUserNameA" ascii wide condition: pe.is_pe and (filesize > 200KB and filesize < 300KB) and (1 of ($r*)) and (1 of ($s*)) } |