Хакеры создали неуязвимую сеть, которая работает даже после «смерти» — и ваши данные в ней, похоже, просто корм

DeerStealer Lumma вредоносное ПО AS61432
Хакеры создали неуязвимую сеть, которая работает даже после «смерти» — и ваши данные в ней, похоже, просто корм
DeerStealer Lumma вредоносное ПО AS61432

Расследование показывает, что ваша безопасность теперь зависит от воли злоумышленников.

image

В экосистеме malware-as-a-service ( MaaS ) зафиксирована новая кампания, где атакующие используют многоступенчатую схему доставки вредоносного ПО через PowerShell-скрипты, размещённые на сторонних веб‑серверах. Такой подход позволяет скрыть финальные исполняемые файлы, замедляет расследования и усложняет анализ инфраструктуры. Первоначальный этап цепочки — PowerShell-скрипты, которые скачивают промежуточные загрузчики, а затем запускают основной вредонос, например файл build.exe, обнаруженный при исследовании. Этот троян соединяется с командным сервером anodes[.]pro, который за последние два месяца взаимодействовал более чем с 60 образцами вредоносных программ, включая семейства Amadey, Lumma, Luca, DeerStealer и RedLine, а также с образцами Rugmi, BlackBasta и DarkGate.

Расширенный анализ через VirusTotal выявил ещё один образец DeerStealer, использующий тот же C2-домен, и позволил отследить связанную инфраструктуру, включая домены hugevcdn[.]pro, servicesmesh[.]pro, interconstructionsite[.]pro, zhuchengsantian[.]com и другие. Домены обслуживаются через Cloudflare и зарегистрированы у WebNIC, что затрудняет прямую блокировку. Отдельный сервер управления по IP 185.156.72[.]96 оказался ключевым узлом кампании — на нём зафиксировано свыше 2,700 вредоносных файлов. Этот адрес, как и 185.156.72[.]2, принадлежит автономной системе AS61432 (TOV VAIZ PARTNER), предположительно относящейся к категории bulletproof hosting.

Кроме того, злоумышленники активно используют Amazon CloudFront, Amazon Global Accelerator, EC2 и GitHub для хранения и доставки вредоносных файлов. Исследователи нашли на GitHub несколько активных загрузчиков, включая NIOAHYWM.exe и OURDUBDV.exe, которые обращаются к C2-доменам anodes[.]pro и multiport[.]shop. Пересечение SSL-хэшей указывает на то, что CloudFront, вероятно, применяется как прокси для перенаправления трафика на конечные серверы управления.

Примечательно, что, несмотря на майские операции правоохранителей, направленные на отключение инфраструктуры LummaStealer , активность этого вредоноса не снизилась. Наоборот, Lumma остаётся одним из самых востребованных инструментов среди операторов, предлагающих готовые решения в сегменте MaaS. Исследование показало, что атакующие экспериментировали с другими загрузчиками в июне, однако большинство операций продолжает строиться вокруг Lumma и Amadey, что подтверждает высокий спрос на их экосистемы.