Как новые поколения троянов удаленного доступа захватывают системы ради кибершпионажа и двойного вымогательства?

Киберпреступники развертывают волну высокотехнологичных троянов удаленного доступа (RAT) для получения абсолютного контроля над зараженными системами. Основным вектором атаки стали троянизированные игровые утилиты, которые массово распространяются через браузеры и платформы для общения с целью доставки скрытного RAT на базе Java. Одновременно с этим зафиксировано появление новых высокоэффективных семейств вредоносного ПО, таких как Steaelite, DesckVB RAT и KazakRAT, которые объединяют кражу данных, программы-вымогатели и инструменты спонсируемого государством шпионажа в единые, легко управляемые панели.
Как новые поколения троянов удаленного доступа захватывают системы ради кибершпионажа и двойного вымогательства?
Изображение носит иллюстративный характер

Команда Microsoft Threat Intelligence опубликовала в социальной сети X данные о масштабной кампании по распространению многоцелевого вредоносного ПО, функционирующего одновременно как загрузчик, раннер, даунлоадер и RAT. Атака начинается с того, что вредоносный загрузчик подготавливает портативную среду выполнения Java.

Техническая реализация продолжается исполнением вредоносного архива Java — файла jd-gui.jar. Для обеспечения максимальной маскировки злоумышленники применяют PowerShell и легитимные системные бинарные файлы (LOLBins), в частности cmstp.exe, что позволяет избегать обнаружения инструментами мониторинга. Сразу после успешного запуска первоначальный загрузчик автоматически удаляется с зараженного устройства.

Для постоянного присутствия в системе троян создает запланированную задачу и сценарий запуска Windows под названием world.vbs. Вредонос настраивает специальные исключения в Microsoft Defender для своих компонентов и связывается с внешним сервером управления (C2) по IP-адресу 79.110.49[.]15 для кражи данных и загрузки дополнительных полезных нагрузок. Для защиты от этой угрозы необходимо провести аудит исключений Microsoft Defender и запланированных задач, удалить вредоносные скрипты, изолировать зараженные конечные точки и сбросить учетные данные активных пользователей.

Параллельно с этим компания BlackFog раскрыла детали о Steaelite — высококоммерциализированном семействе вредоносного ПО. Начиная с ноября 2025 года этот инструмент активно рекламируется на криминальных форумах как «лучший Windows RAT» с функцией «полностью необнаруживаемого» (FUD) кода. Данный вирус полностью совместим с операционными системами Windows 10 и Windows 11.

Исследователь безопасности Венди Маккейг провела экспертный анализ угрозы, отметив, что Steaelite фундаментально отличается от стандартных троянов тем, что объединяет кражу данных и программы-вымогатели в единую веб-панель управления, обеспечивая «полное двойное вымогательство». Разработчики этого комплекса также ведут активное создание отдельного модуля программы-вымогателя для платформы Android.

Инструментарий панели разработчика Steaelite предоставляет хакерам функции кейлоггера, поиска файлов, подмены буфера обмена (клиппер), изменения обоев, распространения через USB-накопители, обхода UAC и прямого чата между клиентом и жертвой. Программа способна принудительно удалять конкурирующее вредоносное ПО с хоста, отключать Microsoft Defender или настраивать для него исключения, а также устанавливать собственные скрытые методы закрепления в ОС.

Steaelite поддерживает удаленное выполнение кода (RCE), запуск произвольных файлов, управление файловой системой, перечисление установленных программ, открытие URL-адресов и компиляцию полезной нагрузки на . Вирус обладает функциями тотального наблюдения: он обеспечивает прямую трансляцию экрана, несанкционированный доступ к веб-камере и микрофону, мониторинг буфера обмена, отслеживание местоположения, кражу паролей, сбор учетных данных, управление процессами и организацию DDoS-атак.

В последние недели охотники за угрозами выявили еще несколько новых семейств RAT, среди которых выделяется DesckVB RAT. Этот инструмент предоставляет операторам комплексный удаленный контроль над инфицированными хостами и отличается способностью выборочно развертывать вредоносные функции уже после успешного компрометирования системы.

Организация по кибербезопасности Ctrl Alt Intel в те же сроки обнаружила и начала отслеживать троян KazakRAT. Эта вредоносная программа, являющаяся частью непрерывной долгосрочной кампании шпионажа, активна с августа 2022 года. Атаки предположительно координируются связанным с государством кластером, а главными целями выступают казахские организации и афганские предприятия.


Новое на сайте

20275Может ли обычное письмо взломать вашу почту в Zimbra? 20274Зачем сразу несколько разведок взломали портал полиции Белуджистана? 20273Кошельки, которые «родились слабыми»: как уязвимость Ill Bloom стоила криптовладельцам... 20272Как мошенники используют фальшивую регистрацию passkey, чтобы захватить чужой Microsoft... 20271Как безобидный установщик 7-Zip превращает компьютер в чужой прокси-сервер? 20270Термометр, а не трофей: зачем всем вдруг понадобились базы уязвимостей 20269Почему кнопка «разрешить» в AI-редакторах кода может обмануть даже опытного разработчика? 20268Как китайская группировка Silver Fox превратила инструмент против цензуры в оружие для... 20266Почему физик из Лондона получил один из самых престижных призов в науке за измерение... 20265Сколько времени нужно хакеру, чтобы взломать вашу сеть — и успеете ли вы это заметить? 20264Как ИИ-агент, который должен ловить вирусы, сам стал вирусом 20263Переговорщик по выкупам работал на тех самых хакеров, от которых должен был защищать...
Ссылка