В апреле 2025 года злоумышленники активно распространяли инфостилеры, маскируя их под взломанное ПО (кряки, ключи и т. д.). Согласно отчету AhnLab Security Intelligence Center (ASEC), основными угрозами стали StealC, LummaC2 и Vidar, использующие SEO-отправление и легитимные сайты для обхода фильтров.
Описание
Ключевые тренды
- Волна StealC: С середины апреля зафиксирован всплеск активности StealC — количество образцов выросло с 10 до 30+ в день. Вредонос крадет данные пользователей (логины, пароли, платежные данные) и передает их на серверы злоумышленников.
- Ошибка в LummaC2: Часть образцов LummaC2 распространялась в распакованном виде, что привело к появлению окна с вопросом «Запустить программу?». При отказе malware не активировался.
- Использование Telegram и Steam для скрытия C2: LummaC2 применял технику Dead Drop Resolver (DDR), получая реальные C2-адреса через аккаунты в Telegram и Steam. Данные шифровались методом ROT-11.
Методы распространения
- SEO-отправление: Посты с вредоносами размещались на популярных платформах (Pinterest, SlideShare) и форумах, чтобы занять верхние позиции в поиске.
- DLL-SideLoading: 13,1% образцов использовали подмену DLL, что усложняет детектирование. Однако в апреле доля таких атак снизилась из-за доминирования EXE-версий StealC.
Индикаторы компрометации
MD5
- 015b508a45586c4d6503eb157cc41676
- 0225513443e46c75e1fbc61433c19df0
- 02aa8d5009f833e3b48d20d123bdc5cf
- 03e65ae46fe8c51c4e53a305138eed68
- 0433e43e51152f259f92993403ba5b83
