Сентябрь 2025 года ознаменовался значительными изменениями в тактике распространения инфостилеров - вредоносных программ, предназначенных для кражи конфиденциальной информации. Согласно отчету AhnLab Security Intelligence Center (ASEC), злоумышленники активно используют технику SEO-отравления для продвижения взломанного программного обеспечения, одновременно наращивая объемы распространения через механизм DLL Side-Loading.
Описание
Основным каналом распространения инфостилеров остается их маскировка под пиратские версии лицензионного программного обеспечения, такие как кряки и ключи активации. Злоумышленники применяют стратегию поискового отравления, обеспечивая вывод вредоносных ссылок в топ результатов поисковых систем. Для противодействия этой угрозе ASEC развернула автоматизированную систему сбора и анализа данных о командных серверах, которая блокирует подключения к C2 и предоставляет информацию через сервис ATIP в режиме реального времени.
В течение сентября наблюдалась активность таких инфостилеров, как LummaC2, ACRStealer и Rhadamanthys. Примечательно, что распространение LummaC2 резко сократилось к концу месяца, тогда как другие семейства сохранили свои позиции. Аналитики отмечают, что система автоматического сбора AhnLab обнаруживает и классифицирует большую часть образцов раньше, чем они появляются в публичных базах вроде VirusTotal, что свидетельствует об эффективности превентивного подхода.
Важной особенностью текущей кампании стало изменение методов распространения. Если ранее злоумышленники создавали собственные блоги для размещения вредоносных материалов, то теперь они активно используют легитимные платформы, включая популярные форумы, разделы вопросов и ответов компаний, бесплатные доски объявлений и даже комментарии. Это позволяет обходить фильтры поисковых систем, которые научились идентифицировать и понижать в выдаче откровенно мошеннические ресурсы.
Наиболее значимым трендом сентября стало резкое увеличение доли образцов, использующих технику DLL Side-Loading. Если в предыдущие месяцы преобладали исполняемые EXE-файлы, то в сентябре 19.7% всех собранных образцов использовали механизм подгрузки DLL. Это почти вдвое больше, чем месяцем ранее. Техника заключается в размещении легитимного EXE-файла и вредоносной DLL в одной директории - при запуске легитимной программы автоматически загружается и выполняется произвольный код.
Особую опасность представляет тот факт, что злоумышленники модифицируют лишь небольшую часть оригинальной DLL, сохраняя ее цифровую подпись и внешнюю структуру. Многие системы безопасности распознают такие файлы как легитимные, что значительно повышает вероятность успешного заражения. LummaC2 продолжает распространяться преимущественно в формате EXE, тогда как ACRStealer почти полностью перешел на DLL Side-Loading.
Аналитики обнаружили новую вариацию атаки, где используется несколько DLL. Первая DLL загружается автоматически при запуске легитимного EXE-файла и, в свою очередь, загружает вторую DLL, которая расшифровывает данные и выполняет шеллкод. Такой многоступенчатый подход усложняет обнаружение и анализ угрозы.
Еще одной необычной тенденцией сентября стало распространение прокси-вого ПО под видом легитимной утилиты SteamCleaner. В отличие от инфостилеров, Proxyware использует сетевые ресурсы зараженного компьютера для генерации дохода злоумышленников. Злоумышленники модифицировали открытый исходный код SteamCleaner, добавив вредоносную функциональность, собрали проект и подписали его валидным сертификатом перед распространением.
После установки программа создает в системе планировщик заданий, устанавливает Node.js и загружает дополнительный скрипт. Этот случай демонстрирует расширение спектра угроз, распространяемых через каналы, традиционно использовавшиеся исключительно для инфостилеров.
Эксперты ASEC рекомендуют организациям усилить мониторинг подозрительной активности, связанной с загрузкой DLL, и обращать особое внимание на файлы, имеющие легитимные цифровые подписи, но размещенные в нетипичных директориях. Для индивидуальных пользователей сохраняется стандартная рекомендация избегать загрузки взломанного программного обеспечения, даже если оно появляется на легитимных площадках.
Полная версия отчета содержит дополнительную статистику по компаниям, под вид которых маскируются злоумышленники, анализ оригинальных имен файлов, данные о распределении угроз по регионам и детализацию фишинговых кампаний с использованием инфостилеров. Эти данные позволяют получить более полное представление о современных трендах в области кибербезопасности и адаптировать защитные механизмы к меняющимся тактикам злоумышленников.
Индикаторы компрометации
MD5
- 0223b36e193979cf72ff7dae6d2493c7
- 046a0e41374a937d30f6984a6b760b17
- 0da27a423dc2e01c63be73e7856dc43b
- 113d25ef9d981960b4425cc3bf7ba881
- 14ae121f86f9519169fdb72bcf283768
