Три главных врага ваших сбережений. Почему после ликвидации Lumma Stealer в сети стало только опаснее
Прежние советы по защите данных оказались бесполезны против хищников новой волны.
После ликвидации инфраструктуры Lumma Stealer в 2025 году рынок вредоносных программ для кражи данных начал быстро меняться. Освободившееся пространство заняли новые и уже известные инструменты, а среди авторов вредоносного ПО усилилась борьба за контроль над распространением инфостилеров. На фоне этих изменений специалисты обратили внимание на относительно новый проект под названием AuraStealer, который уже участвует в нескольких атаках.
AuraStealer впервые появился на хакерских форумах в июле 2025 года. Вредоносная программа быстро начала распространяться в подпольной среде и пытается занять место среди популярных инструментов для кражи данных. AuraStealer конкурирует с такими семействами, как Rhadamanthys и Vidar, которые после закрытия Lumma усилили позиции на теневом рынке.
Отчёт компании Intrinsec описывает архитектуру вредоносного ПО и инфраструктуру управления. Команда выявила 48 доменных имён серверов управления, через которые операторы получают украденную информацию и управляют заражёнными системами. Анализ сетевой инфраструктуры показал заметную смену используемых доменных зон. Первые кампании применяли домены с окончанием .shop, однако позднее операторы начали активно регистрировать адреса в зоне .cfd. Подобная миграция помогает скрывать инфраструктуру и усложняет блокировку.
Авторы исследования также описали метод отслеживания управляющих серверов через сетевые поисковые системы. Подобный подход позволяет находить новые домены инфраструктуры, даже когда операторы регулярно меняют адреса.
Технический разбор затронул панель управления и основной вредоносный модуль. Код программы демонстрирует стандартную для инфостилеров логику работы. Вредоносное ПО собирает данные из браузеров, извлекает сохранённые учётные записи, перехватывает информацию из криптовалютных кошельков и передаёт собранные данные на серверы операторов. В отчёте приведено более 340 индикаторов компрометации, которые позволяют обнаруживать активность AuraStealer в корпоративных сетях.
В ходе подготовки отчёта команда аналитиков Intrinsec объединила данные мониторинга безопасности, сведения из расследований инцидентов и собственные методы анализа, включая использование ловушек, обратную разработку вредоносного кода и исследование сетевой инфраструктуры атакующих.
Авторы считают, что появление новых инфостилеров после закрытия Lumma показывает быструю адаптацию подпольного рынка. Новые проекты пытаются занять освободившиеся позиции, а операторы вредоносных программ активно модернизируют инфраструктуру, чтобы сохранить устойчивость к блокировкам и расследованиям.