В мае 2025 года эксперты AhnLab SEcurity intelligence Center (ASEC) зафиксировали новые тенденции в распространении инфостилеров - вредоносных программ, предназначенных для кражи конфиденциальных данных. Согласно отчету, злоумышленники активно используют SEO-отравление, чтобы продвигать зараженные файлы в поисковых системах. Основными целями атак стали пользователи, ищущие взломанные версии ПО (кряки и ключи). Среди наиболее распространенных инфостилеров - LummaC2, Vidar, StealC, Rhadamanthys и Amadey, который после долгого перерыва снова появился в дикой природе.
Описание
Одним из ключевых методов распространения остается DLL-SideLoading - техника, при которой вредоносный DLL-файл загружается при запуске легитимной программы. Хотя в мае доля таких атак снизилась до 4,6%, их опасность остается высокой из-за сложности детектирования: многие антивирусные решения могут ошибочно классифицировать такой файл как безопасный.
Среди новых трендов - использование BAT-скриптов, которые загружают вредоносный код через PowerShell. Изначально скрипты распространялись в открытом виде, но позже злоумышленники начали применять обфускацию для усложнения анализа. Также отмечены случаи использования сервиса Wormhole для временного хостинга вредоносных файлов, однако из-за ограничений сервиса (24 часа доступности и максимум 100 загрузок) этот метод не получил массового распространения.
Еще одной уловкой стало применение Unicode-символов в паролях к архивам с вредоносным содержимым. Визуально пароль выглядит как обычный набор цифр, но на самом деле состоит из специальных символов, что затрудняет автоматическое распознавание системами защиты.
Эксперты рекомендуют пользователям избегать загрузки взломанного ПО и регулярно обновлять антивирусные решения для защиты от инфостилеров.
Индикаторы компрометации
MD5
- 004c10450f71260bfaecf6af97412749
- 00d9c70434cdf4d83dd9b98e644597fa
- 09825dd40ba8ba3c1ce240e844d650a8
- 119a118372a79cfd77a033c852bd3f90
- 13a137bd40d2e80631643edb02c1c3ec
