Могут ли взломанные программы стать оружием киберпреступников?

В последнее время злоумышленники используют взломанные версии ПО в качестве приманки для распространения вредоносных программ, таких как Lumma, ACR Stealer, Rhadamanthys Stealer и Zhong Stealer. Эти методы позволяют внедрять информационных стеллеров и эксплуатировать уязвимости с применением легитимных онлайн-сервисов.
Могут ли взломанные программы стать оружием киберпреступников?
Изображение носит иллюстративный характер

ACR Stealer распространяется посредством взломанного ПО, что стало особенно заметно с января 2025 года, как отметил AhnLab Security Intelligence Center (ASEC) из Южной Кореи. Применяемая техника «dead drop resolver» предполагает, что злоумышленники размещают Base64-кодированный адрес командно-управляющего сервера на специальных страницах, использующих такие сервисы, как Steam, Telegram's Telegraph, Google Forms и Google Slides. Ранее данное вредоносное ПО распространялось через Hijack Loader.

Rhadamanthys Stealer использует файлы с расширением MSC, маскирующиеся под MS Word-документы. При открытии файла загружается и выполняется скрипт PowerShell, который затем скачивает исполняемый файл Rhadamanthys. В данной кампании выявлены два типа MSC-малвари: первый эксплуатирует уязвимость в apds.dll (CVE-2024-43572, известную как GrimResource), впервые документированную Elastic Security Labs в июне 2024 года и запатченной Microsoft в октябре 2024 года, второй – использует команду "command" через Console Taskpad.

Zhong Stealer распространяется через платформы поддержки, такие как Zendesk. Злоумышленники, выдавая себя за клиентов, убеждают операторов технической поддержки загрузить заражённое ПО, что позволяет незаметно получить доступ к конфиденциальным данным пользователя.

Согласно отчёту Hudson Rock, за последние несколько лет более 30 000 000 компьютеров были заражены информационными стеллерами. Украденные корпоративные учётные данные и сессионные куки затем выставляются на продажу на теневых форумах. Как отмечает Hudson Rock: «За цену всего $10 за лог (компьютер) киберпреступники могут приобрести украденные данные сотрудников, работающих в секторах обороны и военной промышленности», что подчеркивает масштабы постэксплуатационных рисков.

Дополнительные методы распространения включают технику ClickFix, которая перенаправляет пользователей на поддельные страницы с CAPTCHA и предлагает скопировать опасные команды PowerShell. Параллельно используется I2PRAT payload, применяющий сеть анонимизации I2P для сокрытия конечного адреса C2-сервера. По словам Sekoia, «Вредоносное ПО представляет собой продвинутую угрозу, состоящую из множества уровней, каждый из которых включает сложные механизмы. Использование анонимизационной сети усложняет отслеживание и идентификацию масштабов угрозы в дикой среде».

Использование взломанного ПО в качестве приманки, наряду с применением легитимных интернет-сервисов для маскировки вредоносных команд, существенно усложняет обнаружение и нейтрализацию атак. Такой подход предоставляет злоумышленникам возможность собирать файлы, данные веб-браузеров и даже расширения криптовалютных кошельков, открывая широкие перспективы для последующих атак на корпоративные сети.


Новое на сайте

20275Может ли обычное письмо взломать вашу почту в Zimbra? 20274Зачем сразу несколько разведок взломали портал полиции Белуджистана? 20273Кошельки, которые «родились слабыми»: как уязвимость Ill Bloom стоила криптовладельцам... 20272Как мошенники используют фальшивую регистрацию passkey, чтобы захватить чужой Microsoft... 20271Как безобидный установщик 7-Zip превращает компьютер в чужой прокси-сервер? 20270Термометр, а не трофей: зачем всем вдруг понадобились базы уязвимостей 20269Почему кнопка «разрешить» в AI-редакторах кода может обмануть даже опытного разработчика? 20268Как китайская группировка Silver Fox превратила инструмент против цензуры в оружие для... 20266Почему физик из Лондона получил один из самых престижных призов в науке за измерение... 20265Сколько времени нужно хакеру, чтобы взломать вашу сеть — и успеете ли вы это заметить? 20264Как ИИ-агент, который должен ловить вирусы, сам стал вирусом 20263Переговорщик по выкупам работал на тех самых хакеров, от которых должен был защищать...
Ссылка