В июне 2025 года специалисты AhnLab Security Intelligence Center (ASEC) зафиксировали заметный всплеск активности вредоносного программного обеспечения, распространяемого под видом взломанных приложений и генераторов ключей. Согласно анализу, именно этот вектор атаки стал основной точкой входа для инфостилеров — программ, предназначенных для кражи данных с заражённых систем.
Главным инструментом, который использовали киберпреступники для продвижения этих вредоносных ресурсов, стала SEO-подмена. Сайты с вредоносным содержимым искусственно поднимались в выдаче поисковых систем, делая их максимально заметными для пользователей, ищущих бесплатные версии популярных программ.
Для борьбы с этой угрозой ASEC задействовал сразу несколько автоматизированных систем сбора и анализа вредоносов: от мониторинга взломанного софта и ловушек на почтовых серверах до инструментов анализа управляющих серверов (C2). Эти средства позволили в реальном времени извлекать вредоносные образцы, определять их командные центры и оперативно делиться этими данными через ATIP IOC. Благодаря этому компании и организации могут блокировать вредоносные каналы связи до того, как заражение распространится.
Особое внимание в отчёте ASEC уделено возросшему разнообразию семейства инфостилеров. Хотя LummaC2 продолжает доминировать по объёму, заметную конкуренцию ему составляют Rhadamanthys, Vidar, StealC и особенно ACRStealer, который получил новые модификации. Последний начал стремительно распространяться благодаря улучшенным техникам обхода защиты.
Злоумышленники также стали активно использовать легитимные веб-платформы: форумы, разделы комментариев на сайтах компаний и даже сервисы вопросов-ответов, где размещают вредоносные ссылки, способные обойти обычные средства защиты.
Основной способ доставки инфостилеров — исполняемые файлы в формате EXE, на которые приходится 94,4% случаев заражения. Остальная часть использует технику DLL SideLoading, когда вредоносная библиотека подгружается через доверенное приложение, мимикрируя под оригинальную DLL. Это делает её незаметной для традиционных антивирусов.
Особую угрозу представляет новая версия ACRStealer, работающая по модели «вредонос как сервис» (MaaS). Она использует вызовы NT-функций для общения с управляющим сервером, подменяет домены HTTP, применяет ручное отображение ntdll и технику Heaven’s Gate, что позволяет обходить архитектурные ограничения и защиту.
Некоторые вредоносы демонстрируют ещё более изощрённые трюки. Один из них при установке маскируется под обычный инсталлятор, копирует себя в системную директорию и прописывается в автозагрузку. После перезагрузки он перекрывает окно браузера всплывающими окнами, принуждая жертву перейти на поддельные сайты и загрузить фальшивые обновления, якобы для Opera. Эти загрузки могут включать дополнительные вредоносные модули, срабатывающие при определённых условиях.
Также замечена техника маскировки паролей от архивов, содержащих вредоносы, в изображениях, встроенных внутрь архива. Это препятствует автоматическим средствам защиты, которые не могут извлечь такие пароли.
ASEC призывает компании регулярно отслеживать обновления в системе ATIP, где публикуются данные об активных маскировках, затронутых отраслях, фишинговых механизмах и используемом программном обеспечении. Всё это подчёркивает нарастающую сложность экосистемы вредоносного ПО, распространяемого через взломанный софт.