Скачал WinRAR с «таблэткой» — теперь твой компьютер работает на даркнет

В июне 2025 года специалисты AhnLab Security Intelligence Center (ASEC) зафиксировали заметный всплеск активности вредоносного программного обеспечения, распространяемого под видом взломанных приложений и генераторов ключей. Согласно анализу, именно этот вектор атаки стал основной точкой входа для инфостилеров — программ, предназначенных для кражи данных с заражённых систем.

Главным инструментом, который использовали киберпреступники для продвижения этих вредоносных ресурсов, стала SEO-подмена. Сайты с вредоносным содержимым искусственно поднимались в выдаче поисковых систем, делая их максимально заметными для пользователей, ищущих бесплатные версии популярных программ.

Для борьбы с этой угрозой ASEC задействовал сразу несколько автоматизированных систем сбора и анализа вредоносов: от мониторинга взломанного софта и ловушек на почтовых серверах до инструментов анализа управляющих серверов (C2). Эти средства позволили в реальном времени извлекать вредоносные образцы, определять их командные центры и оперативно делиться этими данными через ATIP IOC. Благодаря этому компании и организации могут блокировать вредоносные каналы связи до того, как заражение распространится.

Особое внимание в отчёте ASEC уделено возросшему разнообразию семейства инфостилеров. Хотя LummaC2 продолжает доминировать по объёму, заметную конкуренцию ему составляют Rhadamanthys, Vidar, StealC и особенно ACRStealer, который получил новые модификации. Последний начал стремительно распространяться благодаря улучшенным техникам обхода защиты.

Злоумышленники также стали активно использовать легитимные веб-платформы: форумы, разделы комментариев на сайтах компаний и даже сервисы вопросов-ответов, где размещают вредоносные ссылки, способные обойти обычные средства защиты.

Основной способ доставки инфостилеров — исполняемые файлы в формате EXE, на которые приходится 94,4% случаев заражения. Остальная часть использует технику DLL SideLoading , когда вредоносная библиотека подгружается через доверенное приложение, мимикрируя под оригинальную DLL. Это делает её незаметной для традиционных антивирусов .

Особую угрозу представляет новая версия ACRStealer, работающая по модели «вредонос как сервис» (MaaS). Она использует вызовы NT-функций для общения с управляющим сервером, подменяет домены HTTP, применяет ручное отображение ntdll и технику Heaven’s Gate, что позволяет обходить архитектурные ограничения и защиту.

Некоторые вредоносы демонстрируют ещё более изощрённые трюки. Один из них при установке маскируется под обычный инсталлятор, копирует себя в системную директорию и прописывается в автозагрузку. После перезагрузки он перекрывает окно браузера всплывающими окнами, принуждая жертву перейти на поддельные сайты и загрузить фальшивые обновления, якобы для Opera. Эти загрузки могут включать дополнительные вредоносные модули, срабатывающие при определённых условиях.

Также замечена техника маскировки паролей от архивов, содержащих вредоносы, в изображениях, встроенных внутрь архива. Это препятствует автоматическим средствам защиты, которые не могут извлечь такие пароли.

ASEC призывает компании регулярно отслеживать обновления в системе ATIP, где публикуются данные об активных маскировках, затронутых отраслях, фишинговых механизмах и используемом программном обеспечении. Всё это подчёркивает нарастающую сложность экосистемы вредоносного ПО, распространяемого через взломанный софт.