В августе 2025 года специалисты AhnLab Security Intelligence Center (ASEC) зафиксировали значительную активность инфостилеров - вредоносных программ, предназначенных для кражи конфиденциальной информации. Согласно отчету, основными распространяемыми семействами стали LummaC2, ACRStealer и Rhadamanthys. Угрозы распространялись преимущественно под видом кряков (взломанного ПО) и кейгенов, с использованием метода SEO Poisoning, который позволяет злоумышленникам занимать верхние позиции в результатах поисковых систем.
Описание
Данные для анализа собирались автоматически с помощью нескольких систем: сбора вредоносного ПО, маскирующегося под взломанное программное обеспечение, почтовых honeypot-ловушек и автоматического анализа C2-серверов.
За последний год наблюдалось заметное изменение тактики распространения. Если ранее злоумышленники использовали собственные блоги, то теперь они активно публикуют ссылки на легитимных платформах, таких как форумы, доски объявлений и даже в разделах комментариев корпоративных сайтов. Примеры включают публикации на chromium.org и slideshare.net, что позволяет вредоносным материалам оставаться в топе выдачи и привлекать большое число жертв.
Большинство инфостилеров (89,7%) распространялись в формате EXE, тогда как 10,3% использовали технику DLL-SideLoading, при которой вредоносная DLL размещается рядом с легитимным исполняемым файлом. Второй способ представляет особую опасность, поскольку модифицированные библиотеки часто остаются незамеченными классическими антивирусными решениями.
В августе проявились два новых тренда. Первый - использование Slack в качестве канала распространения. Злоумышленники массово публиковали сообщения с вредоносными ссылками через Slack Marketplace. Хотя прямого доступа к материалам уже нет, поисковые системы по-прежнему индексируют эти записи, что сохраняет риски для пользователей.
Второй тренд связан с семейством ACRStealer, которое с июня 2025 года активно развивается. Новая версия использует подмену доменов в HTTP-заголовках, маскируя соединения с C2 под легитимные ресурсы. Изначально злоумышленники имитировали домены Microsoft и Facebook, но с середины августа переключились на ресурсы, связанные с производителями средств безопасности - Avast, Sophos, CrowdStrike, Malwarebytes и другими. Это усложняет обнаружение и анализ трафика.
Индикаторы компрометации
MD5
- 00a2e097c53831491975374ef4cdf5b4
- 013026855baf28301bd7e6e85822e4e5
- 081b5fb48eab820ccf47065e724cc9b6
- 11f03aef854cc2032db0771b7b7166fb
- 169620bc6fb5e9753d913275b2352686
