В последнее время злоумышленники используют взломанные версии ПО в качестве приманки для распространения вредоносных программ, таких как Lumma, ACR Stealer, Rhadamanthys Stealer и Zhong Stealer. Эти методы позволяют внедрять информационных стеллеров и эксплуатировать уязвимости с применением легитимных онлайн-сервисов.
ACR Stealer распространяется посредством взломанного ПО, что стало особенно заметно с января 2025 года, как отметил AhnLab Security Intelligence Center (ASEC) из Южной Кореи. Применяемая техника «dead drop resolver» предполагает, что злоумышленники размещают Base64-кодированный адрес командно-управляющего сервера на специальных страницах, использующих такие сервисы, как Steam, Telegram's Telegraph, Google Forms и Google Slides. Ранее данное вредоносное ПО распространялось через Hijack Loader.
Rhadamanthys Stealer использует файлы с расширением MSC, маскирующиеся под MS Word-документы. При открытии файла загружается и выполняется скрипт PowerShell, который затем скачивает исполняемый файл Rhadamanthys. В данной кампании выявлены два типа MSC-малвари: первый эксплуатирует уязвимость в apds.dll (CVE-2024-43572, известную как GrimResource), впервые документированную Elastic Security Labs в июне 2024 года и запатченной Microsoft в октябре 2024 года, второй – использует команду "command" через Console Taskpad.
Zhong Stealer распространяется через платформы поддержки, такие как Zendesk. Злоумышленники, выдавая себя за клиентов, убеждают операторов технической поддержки загрузить заражённое ПО, что позволяет незаметно получить доступ к конфиденциальным данным пользователя.
Согласно отчёту Hudson Rock, за последние несколько лет более 30 000 000 компьютеров были заражены информационными стеллерами. Украденные корпоративные учётные данные и сессионные куки затем выставляются на продажу на теневых форумах. Как отмечает Hudson Rock: «За цену всего $10 за лог (компьютер) киберпреступники могут приобрести украденные данные сотрудников, работающих в секторах обороны и военной промышленности», что подчеркивает масштабы постэксплуатационных рисков.
Дополнительные методы распространения включают технику ClickFix, которая перенаправляет пользователей на поддельные страницы с CAPTCHA и предлагает скопировать опасные команды PowerShell. Параллельно используется I2PRAT payload, применяющий сеть анонимизации I2P для сокрытия конечного адреса C2-сервера. По словам Sekoia, «Вредоносное ПО представляет собой продвинутую угрозу, состоящую из множества уровней, каждый из которых включает сложные механизмы. Использование анонимизационной сети усложняет отслеживание и идентификацию масштабов угрозы в дикой среде».
Использование взломанного ПО в качестве приманки, наряду с применением легитимных интернет-сервисов для маскировки вредоносных команд, существенно усложняет обнаружение и нейтрализацию атак. Такой подход предоставляет злоумышленникам возможность собирать файлы, данные веб-браузеров и даже расширения криптовалютных кошельков, открывая широкие перспективы для последующих атак на корпоративные сети.
Изображение носит иллюстративный характер
ACR Stealer распространяется посредством взломанного ПО, что стало особенно заметно с января 2025 года, как отметил AhnLab Security Intelligence Center (ASEC) из Южной Кореи. Применяемая техника «dead drop resolver» предполагает, что злоумышленники размещают Base64-кодированный адрес командно-управляющего сервера на специальных страницах, использующих такие сервисы, как Steam, Telegram's Telegraph, Google Forms и Google Slides. Ранее данное вредоносное ПО распространялось через Hijack Loader.
Rhadamanthys Stealer использует файлы с расширением MSC, маскирующиеся под MS Word-документы. При открытии файла загружается и выполняется скрипт PowerShell, который затем скачивает исполняемый файл Rhadamanthys. В данной кампании выявлены два типа MSC-малвари: первый эксплуатирует уязвимость в apds.dll (CVE-2024-43572, известную как GrimResource), впервые документированную Elastic Security Labs в июне 2024 года и запатченной Microsoft в октябре 2024 года, второй – использует команду "command" через Console Taskpad.
Zhong Stealer распространяется через платформы поддержки, такие как Zendesk. Злоумышленники, выдавая себя за клиентов, убеждают операторов технической поддержки загрузить заражённое ПО, что позволяет незаметно получить доступ к конфиденциальным данным пользователя.
Согласно отчёту Hudson Rock, за последние несколько лет более 30 000 000 компьютеров были заражены информационными стеллерами. Украденные корпоративные учётные данные и сессионные куки затем выставляются на продажу на теневых форумах. Как отмечает Hudson Rock: «За цену всего $10 за лог (компьютер) киберпреступники могут приобрести украденные данные сотрудников, работающих в секторах обороны и военной промышленности», что подчеркивает масштабы постэксплуатационных рисков.
Дополнительные методы распространения включают технику ClickFix, которая перенаправляет пользователей на поддельные страницы с CAPTCHA и предлагает скопировать опасные команды PowerShell. Параллельно используется I2PRAT payload, применяющий сеть анонимизации I2P для сокрытия конечного адреса C2-сервера. По словам Sekoia, «Вредоносное ПО представляет собой продвинутую угрозу, состоящую из множества уровней, каждый из которых включает сложные механизмы. Использование анонимизационной сети усложняет отслеживание и идентификацию масштабов угрозы в дикой среде».
Использование взломанного ПО в качестве приманки, наряду с применением легитимных интернет-сервисов для маскировки вредоносных команд, существенно усложняет обнаружение и нейтрализацию атак. Такой подход предоставляет злоумышленникам возможность собирать файлы, данные веб-браузеров и даже расширения криптовалютных кошельков, открывая широкие перспективы для последующих атак на корпоративные сети.
