Могут ли взломанные программы стать оружием киберпреступников?

В последнее время злоумышленники используют взломанные версии ПО в качестве приманки для распространения вредоносных программ, таких как Lumma, ACR Stealer, Rhadamanthys Stealer и Zhong Stealer. Эти методы позволяют внедрять информационных стеллеров и эксплуатировать уязвимости с применением легитимных онлайн-сервисов.
Могут ли взломанные программы стать оружием киберпреступников?
Изображение носит иллюстративный характер

ACR Stealer распространяется посредством взломанного ПО, что стало особенно заметно с января 2025 года, как отметил AhnLab Security Intelligence Center (ASEC) из Южной Кореи. Применяемая техника «dead drop resolver» предполагает, что злоумышленники размещают Base64-кодированный адрес командно-управляющего сервера на специальных страницах, использующих такие сервисы, как Steam, Telegram's Telegraph, Google Forms и Google Slides. Ранее данное вредоносное ПО распространялось через Hijack Loader.

Rhadamanthys Stealer использует файлы с расширением MSC, маскирующиеся под MS Word-документы. При открытии файла загружается и выполняется скрипт PowerShell, который затем скачивает исполняемый файл Rhadamanthys. В данной кампании выявлены два типа MSC-малвари: первый эксплуатирует уязвимость в apds.dll (CVE-2024-43572, известную как GrimResource), впервые документированную Elastic Security Labs в июне 2024 года и запатченной Microsoft в октябре 2024 года, второй – использует команду "command" через Console Taskpad.

Zhong Stealer распространяется через платформы поддержки, такие как Zendesk. Злоумышленники, выдавая себя за клиентов, убеждают операторов технической поддержки загрузить заражённое ПО, что позволяет незаметно получить доступ к конфиденциальным данным пользователя.

Согласно отчёту Hudson Rock, за последние несколько лет более 30 000 000 компьютеров были заражены информационными стеллерами. Украденные корпоративные учётные данные и сессионные куки затем выставляются на продажу на теневых форумах. Как отмечает Hudson Rock: «За цену всего $10 за лог (компьютер) киберпреступники могут приобрести украденные данные сотрудников, работающих в секторах обороны и военной промышленности», что подчеркивает масштабы постэксплуатационных рисков.

Дополнительные методы распространения включают технику ClickFix, которая перенаправляет пользователей на поддельные страницы с CAPTCHA и предлагает скопировать опасные команды PowerShell. Параллельно используется I2PRAT payload, применяющий сеть анонимизации I2P для сокрытия конечного адреса C2-сервера. По словам Sekoia, «Вредоносное ПО представляет собой продвинутую угрозу, состоящую из множества уровней, каждый из которых включает сложные механизмы. Использование анонимизационной сети усложняет отслеживание и идентификацию масштабов угрозы в дикой среде».

Использование взломанного ПО в качестве приманки, наряду с применением легитимных интернет-сервисов для маскировки вредоносных команд, существенно усложняет обнаружение и нейтрализацию атак. Такой подход предоставляет злоумышленникам возможность собирать файлы, данные веб-браузеров и даже расширения криптовалютных кошельков, открывая широкие перспективы для последующих атак на корпоративные сети.


Новое на сайте

20204Дыра в Argo CD: почему 18 месяцев без патча — это катастрофа? 20203WhatsApp запускает имена пользователей: теперь можно общаться без раскрытия номера... 20202Почему США пришлось заморозить сильнейший ИИ Anthropic — и чего это стоило отрасли? 20201Ousaban: бразильский банковский троян, который охотится на клиентов испанских и... 20200Три новые группировки вымогателей: Citrix Bleed 2, уязвимые драйверы и атаки через... 20198Тупиковый майнинг биткоина тратит столько энергии, сколько вырабатывают все гэс Швейцарии... 20197DuneSlide: как два скрытых промпта позволяли захватить машину разработчика через Cursor 20196Уязвимость в Progress Kemp LoadMaster: кто уже пытается взломать ваш балансировщик? 20194Критическая уязвимость в SimpleHelp позволяет красть данные из облаков, кошельков и... 20193Ультрабыстрые лазеры поместились на чип: как журналистика о науке работает без самой науки 20192Почему Adobe выпускает патчи дважды в месяц и что скрывается за семью уязвимостями с... 20191Два миллиона домашних устройств работали прокси-сетью — и никто из владельцев об этом не...
Ссылка