Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Эволюция Infostealer: новые угрозы и методы доставки в 2024 году

3 мин
Вредоносное ПО категории Infostealer продолжает эволюционировать, становясь всё более изощрённым и опасным для пользователей по всему миру. Особое внимание экспертов привлёк недавний взлёт уязвимости методов доставки, в частности, кампаний по исправлению кликов (ClickFix или ClearFix), которые сделали атаку максимально эффективной и незаметной. В центре внимания – инфокрад Rhadamanthys, пришедший на смену закрытой правоохранительными органами платформе Lumma Stealer. До 2024 года Lumma Stealer был одним из самых заметных представителей инфокрадов, распространявшихся по модели Мalware-as-a-Service. Несмотря на недавнюю ликвидацию компании, которая занималась его разработкой и распространением, экосистема инфокрадов не только сохранилась, но и получила устойчивое развитие благодаря появлению новых конкурентов. Метод ClickFix (также известный как ClearFix) стал одной из самых заметных инноваций второй половины 2024 года. Суть его заключается в использовании социальной инженерии, когда жер
Оглавление

Инфокрады и новая эра киберугроз: как Rhadamanthys изменяет ландшафт

Вредоносное ПО категории Infostealer продолжает эволюционировать, становясь всё более изощрённым и опасным для пользователей по всему миру. Особое внимание экспертов привлёк недавний взлёт уязвимости методов доставки, в частности, кампаний по исправлению кликов (ClickFix или ClearFix), которые сделали атаку максимально эффективной и незаметной. В центре внимания – инфокрад Rhadamanthys, пришедший на смену закрытой правоохранительными органами платформе Lumma Stealer.

Ликвидация Lumma Stealer и появление новых игроков

До 2024 года Lumma Stealer был одним из самых заметных представителей инфокрадов, распространявшихся по модели Мalware-as-a-Service. Несмотря на недавнюю ликвидацию компании, которая занималась его разработкой и распространением, экосистема инфокрадов не только сохранилась, но и получила устойчивое развитие благодаря появлению новых конкурентов.

  • Rhadamanthys — новый игрок, активно использующий методику ClickFix для успешного внедрения в системы жертв;
  • Другие известные Infostealer 2023 года — Raccoon, RedLine, Vidar — наряду с новичками Mystic и Aurora;
  • Модель распространения как вредоносного ПО как услуги (MaaS), где хакеры получают доступ к серверам управления (C2) по подписке.

ClickFix / ClearFix — прорыв в тактиках доставки вредоносного ПО

Метод ClickFix (также известный как ClearFix) стал одной из самых заметных инноваций второй половины 2024 года. Суть его заключается в использовании социальной инженерии, когда жертв убеждают выполнить цепочку вредоносных команд PowerShell. Эти команды маскируются под этапы проверки или взаимодействия с системой, что значительно повышает вероятность их выполнения.

В частности, в случае с Rhadamanthys применяется следующий сценарий атаки:

  1. Фишинговые рассылки с командными инструкциями, замаскированными под легитимные процессы;
  2. Запуск процесса с помощью mshta.exe для инициации вредоносного кода;
  3. Фоновое выполнение сложных PowerShell-скриптов, избегая обнаружения;
  4. Загрузка полезной нагрузки непосредственно с управляющего сервера C2.

Технические особенности Rhadamanthys

Rhadamanthys представляет собой модульный Infostealer с многоуровневой архитектурой, позволяющей гибко реагировать на изменения в окружающей среде и обновлять систему защиты от обнаружения. Основные этапы работы вредоносного ПО включают:

  • Инициализация загрузчика: подготовка к следующим этапам заражения;
  • Сбор информации о системе: анализ параметров машины и процессов;
  • Кража и удаление данных: основной этап, когда злоумышленник получает доступ к конфиденциальной информации.

Выделяются следующие продвинутые возможности Rhadamanthys:

  • Модули на базе анализа изображений и распознавания текста для тщательного поиска ценной информации;
  • Маскировка под файлы установщика Microsoft, повышающая шансы на обход систем безопасности;
  • Сбор широкого спектра данных — от учётных записей в браузерах до содержимого криптовалютных кошельков;
  • Отправка украденной информации на C2-серверы для последующего анализа и использования.

Тенденции и перспективы развития рынка инфокрадов

Эволюция Lumma Stealer и появление Rhadamanthys демонстрируют важную тенденцию современного киберпреступного ландшафта: всё более глубокую интеграцию Infostealer в сложные дистрибутивные сети. Преступники активно используют разнообразные законные платформы и инструменты для доставки вредоносного ПО, что осложняет их обнаружение и нейтрализацию.

Динамика распространения украденных учётных данных иллюстрирует изменение рынка — от разрозненных операций до мощной универсальной среды, где данные поступают от множества Infostealer и анализируются для максимизации прибыли.

Таким образом, современный рынок Infostealer остаётся высокодинамичным, где новые инструменты и угрозы быстро заменяют устаревшие методы, заставляя специалистов по кибербезопасности постоянно повышать уровень защиты.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Эволюция Infostealer: новые угрозы и методы доставки в 2024 году".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.