Вирусы больше не в моде. Теперь хакеры грабят пользователей с помощью программ для сисадминов

Злоумышленники всё чаще используют легальные инструменты удаленного управления вместо сложного вредоносного ПО. Такие программы позволяют получить полный контроль над компьютером жертвы. По данным Huntress, в 2025 году злоупотребление подобными инструментами стало самой распространённой угрозой и составило около 24% всех инцидентов. За год количество таких атак выросло на 277%.

В новых кампаниях злоумышленники часто связывают несколько инструментов удалённого администрирования в цепочку. Один устанавливает другой, затем третий. Такой подход усложняет обнаружение и позволяет сохранить доступ к системе даже после частичной очистки.

В декабре 2025 года специалисты зафиксировали кампанию с распространением установщиков MSI, которые устанавливали программы удалённого доступа и запускали дополнительные скрипты. Скрипты анализировали историю браузера и искали упоминания финансовых сервисов и криптовалютных площадок, включая QuickBooks и Coinbase. Целью становился поиск ценных учётных записей. При этом один из скриптов так и не передавал собранные данные, хотя в комментариях упоминалась отправка информации в Telegram.

В январе 2026 года злоумышленники начали использовать систему управления уязвимостями Action1 для установки клиента ScreenConnect через пакеты Microsoft Installer. В других случаях развёртывание происходило через Windows Script Host. В одной кампании инструмент InjectProx-hiro Remote Support устанавливал ScreenConnect и отправлял в Telegram уведомление с именем заражённого компьютера.

Распространение часто происходит через приманки. Пользователям предлагают «документы» от Управления социального обеспечения США или приглашения на мероприятия. После загрузки устанавливается программа удалённого доступа. Кампании распространяются через почтовые рассылки и отравленные результаты поисковых систем.

Специалисты обнаружили инфраструктуру таких атак в репозиториях GitHub, включая учётные записи VH851 и Drasticc. Размещённые там страницы пытались принудительно загрузить установщик MSI несколькими способами подряд – через скрытую ссылку, iframe или загрузку через blob.

Некоторые сайты проверяли операционную систему посетителя и разрешали загрузку только пользователям Windows. В другой кампании страницы, наоборот, открывались только на мобильных устройствах и предлагали войти в почтовый ящик для просмотра «приглашения», что приводило к краже учётных данных.

Инфраструктуру иногда скрывают за сервисами Cloudflare, чтобы затруднить блокировку вредоносных сайтов.

В декабре злоумышленники даже зарегистрировались на платформе Huntress, вероятно, чтобы проверить возможности обнаружения атак. Наблюдение показало их рабочую схему. Злоумышленник арендовал виртуальный сервер у Crowncloud, покупал подарочные карты для регистрации доменов, использовал CertifyTheWeb для управления сертификатами и применял нейросеть DeepSeek для подготовки инфраструктуры.

Затем устанавливались расширения браузера для сбора адресов электронной почты, номеров телефонов и профилей в социальных сетях. Для маскировки активности использовались Proxy SwitchyOmega и сервис 9Proxy. После получения доступа злоумышленник входил в почтовые ящики жертв и пытался получить доступ к банковским сервисам через восстановление паролей.

В наборе инструментов также нашли утилиту Hide From Uninstall List, которая скрывает установленные программы из списка удаления. Ещё один приём связан с файлом pin.exe, маскирующимся под окно безопасности Windows и запрашивающим PIN-код пользователя. Введённый код сохраняется в текстовый файл.

В подобных атаках чаще всего используют AnyDesk, Action1, Atera, Chrome Remote Desktop, ScreenConnect, SimpleHelp, Splashtop, RustDesk, MeshAgent, LiteManager и NetSupport.

Главная особенность таких кампаний – простота. Злоумышленники редко пишут собственные вредоносные программы и используют легальные инструменты удалённого администрирования как канал управления и сбора данных с заражённых компьютеров.