Исследователи из AhnLab Security intelligence Center (ASEC) зафиксировали в феврале 2026 года значительный рост масштабов распространения вредоносного программного обеспечения, нацеленного на кражу конфиденциальных данных пользователей. Основным каналом заражения по-прежнему остаются поддельные «кряки» и генераторы ключей, которые злоумышленники продвигают через поисковые системы. Однако тактика атакующих непрерывно эволюционирует, они активно осваивают новые методы обхода защитных мер и расширяют спектр целевых операционных систем, включая macOS. Статистика и анализ трендов, представленные в ежемесячном отчёте ASEC, служат важным индикатором для специалистов по информационной безопасности, позволяя прогнозировать угрозы и корректировать стратегии защиты.
Описание
Согласно данным отчёта, в феврале через автоматизированные системы сбора ASEC было выявлено и проанализировано множество случаев распространения таких похитителей данных, как ACRStealer, LummaC2 и Vidar. Особенностью текущего момента является переход киберпреступников от создания собственных блогов для размещения вредоносных ссылок к компрометации легитимных, но плохо защищённых ресурсов. Атакующие активно используют уязвимости в системах управления контентом, например, в WordPress, оставляя сообщения со ссылками на вредоносное ПО на корпоративных форумах, досках объявлений и даже в разделах вопросов и ответов. Это позволяет им обходить фильтры поисковых систем, которые научились блокировать откровенно мошеннические сайты, и выводить свои посты в топ выдачи.
Технический анализ собранных образцов показал, что примерно три четверти (74,8%) вредоносных программ для Windows распространяются в виде исполняемых EXE-файлов. Остальная часть использует более изощрённую технику DLL Side-Loading (подмены библиотек). В этом случае в одной папке размещаются легитимная программа и вредоносная DLL-библиотека. При запуске корректного приложения оно, согласно своей логике, загружает подставную библиотеку, что и приводит к выполнению зловредного кода. Поскольку такая библиотека визуально почти не отличается от оригинальной, многие антивирусные решения могут классифицировать её как безопасную, что требует от специалистов повышенного внимания к подобным векторам атаки. При этом, как сообщают аналитики ASEC, доля атак с использованием DLL Side-Loading в феврале немного снизилась по сравнению с январем.
Отдельную и растущую угрозу представляют похитители данных для операционной системы macOS. Если пользователь заходит на страницу распространения с компьютера Apple, вместо Windows-версии ему предлагается вредоносный код, адаптированный под эту платформу. Основные методы заражения включают тактику «ClickFix», когда пользователю предлагается скопировать и выполнить в Терминале опасную команду, или загрузку и запуск вредоносных Bash-скриптов. Финальная полезная нагрузка часто поставляется в виде так называемых Fatbin-исполняемых файлов (содержащих код для нескольких архитектур) или скриптов для osascript. Ключевой особенностью macOS-угроз является чрезвычайно высокая скорость мутации образцов: хеш-суммы вредоносных файлов, выполняющих идентичные функции, могут меняться каждые несколько минут или часов, что затрудняет их сигнатурное обнаружение. Только в феврале системы ASEC собрали 2073 вредоносных Bash-скрипта и 217 Fatbin-исполняемых файлов для macOS.
Ярким примером набирающего популярность вектора атаки стал так называемый Inno Setup Downloader. Этот загрузчик, впервые обнаруженный в июне 2024 года, использует уязвимости в установщике Inno Setup для доставки вредоносного кода. После периода относительного затишья активность этой угрозы резко возросла: если в январе было зафиксировано распространение 5323 образцов такого ПО, то в феврале их число взлетело до 13211. Современные кампании используют множество вариантов целевых страниц. Для маскировки после перехода по ссылке в течение некоторого времени может загружаться легитимный установочный файл WinRAR, что усыпляет бдительность жертвы. Однако в фоне уже идёт процесс загрузки вредоносного архива. Его исполнение запускает интерфейс, имитирующий установщик, и при нажатии кнопки «Далее» с помощью команд PowerShell происходит загрузка и выполнение финальных вредоносных программ, включая похитителя данных ACRStealer. В некоторых случаях вместе с ним устанавливаются также прокси-софт, Tor и даже легитимный браузер Opera, что может указывать на комплексные цели атакующих, включая создание сетей ботнетов или скрытие дальнейшего трафика.
Растущая изощрённость атак, их кросс-платформенность и активное использование социальной инженерии через легитимные ресурсы подчёркивают необходимость комплексного подхода к безопасности. Противодействие таким угрозам требует не только своевременного обновления сигнатур антивирусов, но и повышения осведомлённости пользователей, внедрения решений для анализа поведения приложений (EDR), а также строгого контроля за содержимым корпоративных веб-ресурсов и систем управления контентом. Мониторинг актуальных тактик, техник и процедур злоумышленников, например, по фреймворку MITRE ATT&CK, позволяет специалистам упреждающе выстраивать защиту, блокируя не конкретные образцы вредоносного кода, а цепочки действий, ведущих к компрометации системы.
Индикаторы компрометации
MD5
- 03f9b573497f7161f248a01576af66d6
- 049f6afa92e1a62413f7ec566b7bef75
- 04f4537b1f73eeacae2eb8faf7cbf993
- 0a4aed360e1279500992e8099bc5018f
- 0dbdaf5d20105ade99d10ec45fbeb26b
