Хакеры создали неуязвимую сеть, которая работает даже после «смерти» — и ваши данные в ней, похоже, просто корм

DeerStealer Lumma вредоносное ПО AS61432
Хакеры создали неуязвимую сеть, которая работает даже после «смерти» — и ваши данные в ней, похоже, просто корм
DeerStealer Lumma вредоносное ПО AS61432

Расследование показывает, что ваша безопасность теперь зависит от воли злоумышленников.

image

В экосистеме malware-as-a-service (MaaS) зафиксирована новая кампания, где атакующие используют многоступенчатую схему доставки вредоносного ПО через PowerShell-скрипты, размещённые на сторонних веб‑серверах. Такой подход позволяет скрыть финальные исполняемые файлы, замедляет расследования и усложняет анализ инфраструктуры. Первоначальный этап цепочки — PowerShell-скрипты, которые скачивают промежуточные загрузчики, а затем запускают основной вредонос, например файл build.exe, обнаруженный при исследовании. Этот троян соединяется с командным сервером anodes[.]pro, который за последние два месяца взаимодействовал более чем с 60 образцами вредоносных программ, включая семейства Amadey, Lumma, Luca, DeerStealer и RedLine, а также с образцами Rugmi, BlackBasta и DarkGate.

Расширенный анализ через VirusTotal выявил ещё один образец DeerStealer, использующий тот же C2-домен, и позволил отследить связанную инфраструктуру, включая домены hugevcdn[.]pro, servicesmesh[.]pro, interconstructionsite[.]pro, zhuchengsantian[.]com и другие. Домены обслуживаются через Cloudflare и зарегистрированы у WebNIC, что затрудняет прямую блокировку. Отдельный сервер управления по IP 185.156.72[.]96 оказался ключевым узлом кампании — на нём зафиксировано свыше 2,700 вредоносных файлов. Этот адрес, как и 185.156.72[.]2, принадлежит автономной системе AS61432 (TOV VAIZ PARTNER), предположительно относящейся к категории bulletproof hosting.

Кроме того, злоумышленники активно используют Amazon CloudFront, Amazon Global Accelerator, EC2 и GitHub для хранения и доставки вредоносных файлов. Исследователи нашли на GitHub несколько активных загрузчиков, включая NIOAHYWM.exe и OURDUBDV.exe, которые обращаются к C2-доменам anodes[.]pro и multiport[.]shop. Пересечение SSL-хэшей указывает на то, что CloudFront, вероятно, применяется как прокси для перенаправления трафика на конечные серверы управления.

Примечательно, что, несмотря на майские операции правоохранителей, направленные на отключение инфраструктуры LummaStealer, активность этого вредоноса не снизилась. Наоборот, Lumma остаётся одним из самых востребованных инструментов среди операторов, предлагающих готовые решения в сегменте MaaS. Исследование показало, что атакующие экспериментировали с другими загрузчиками в июне, однако большинство операций продолжает строиться вокруг Lumma и Amadey, что подтверждает высокий спрос на их экосистемы.