Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Olymp Loader — MaaS на ассемблере для кражи данных

8
5 мин
С июня 2025 года в даркнете и на публичных платформах наблюдается активное продвижение нового вредоносного загрузчика — Olymp Loader. Его продаёт группа, позиционирующая себя как «OLYMPO», — объявления и обсуждения ведутся на подпольных форумах и в Telegram. Авторы заявляют, что код полностью написан на ассемблере и является «полностью необнаруживаемым (FUD)», что привлекает покупателей с различным уровнем навыков. Несколько ключевых фактов о проекте: Из доступных данных следует, что злоумышленники используют несколько тактик доставки: Исследования образцов показывают следующие типичные действия Olymp Loader при выполнении: Ориентация разработчиков — максимизация кражи данных и полного контроля над системой. Среди наблюдаемых payload’ов и инструментов постинфекции: Дополнительные технические детали, зафиксированные исследователями: Olymp Loader представляет собой серьёзную угрозу для организаций и частных пользователей, особенно в следующих сценариях: Практические меры по снижению риск
Оглавление
Источник: outpost24.com
Источник: outpost24.com

С июня 2025 года в даркнете и на публичных платформах наблюдается активное продвижение нового вредоносного загрузчика — Olymp Loader. Его продаёт группа, позиционирующая себя как «OLYMPO», — объявления и обсуждения ведутся на подпольных форумах и в Telegram. Авторы заявляют, что код полностью написан на ассемблере и является «полностью необнаруживаемым (FUD)», что привлекает покупателей с различным уровнем навыков.

Краткая характеристика и популярность

Несколько ключевых фактов о проекте:

  • Формат распространения: Malware-as-a-Service (MaaS) — Olympus Loader предлагается как услуга.
  • Язык реализации: полностью на ассемблере, что усложняет анализ и подпись.
  • Активность сообщества: в Telegram-канале почти сотня подписчиков, публикуются обзоры и обсуждения.
  • Степень распространения: точное число клиентов/заражённых неизвестно, но востребованность заметна.

Методы распространения

Из доступных данных следует, что злоумышленники используют несколько тактик доставки:

  • Маскировка под легитимные бинарные файлы, в том числе под установщики/библиотеки вроде Node.js. На GitHub были найдены два бинарных файла с включённым Olymp Loader, замаскированных под нормальный софт.
  • Поставляется как дополнительная полезная нагрузка в комплекте с другим вредоносным ПО, например, Amadey, что указывает на возможную модель PPI (оплата за установку).
  • Загрузчик часто запускается из командной строки и копируется в каталог %AppData% для устойчивого присутствия.

Поведение на скомпрометированной системе

Исследования образцов показывают следующие типичные действия Olymp Loader при выполнении:

  • Попытки отключения защитных механизмов Windows, в том числе Windows Defender, перед выполнением полезной нагрузки.
  • Копирование исполняемого файла в %AppData% и запуск уже оттуда.
  • Непосредственное развёртывание и выполнение полезных нагрузок; в последних версиях функциональность ботнета была удалена в пользу тесной интеграции payload’ов.
  • Поддержка пользовательских модулей, взаимодействующих через выделенный API, что облегчает расширение функциональности под требования клиента.

Типичные полезные нагрузки и инструменты постинфицирования

Ориентация разработчиков — максимизация кражи данных и полного контроля над системой. Среди наблюдаемых payload’ов и инструментов постинфекции:

  • Stealers: модули для кражи данных из браузеров, криптокошельков и мессенджеров (Telegram stealer, browser stealer, crypto wallet stealer).
  • RAT и C2: LummaC2, WebRAT, QasarRAT, Raccoon — часто используются в связке с Olymp Loader для удалённого управления и эксфильтрации данных.
  • Модули для взаимодействия через API, что даёт возможность даже малокомпетентным злоумышленникам быстро запускать специализированные операции по краже.

Технические наблюдения

Дополнительные технические детали, зафиксированные исследователями:

  • Несколько версий загружались на VirusTotal для тестирования: наблюдались запуски через командную строку и копирование в %AppData%.
  • Последние апдейты устранили ботнет-компонент и усилили интеграцию полезных нагрузок: payload’ы выполняются сразу после подавления защитника Windows.
  • Наличие модульной архитектуры с API для плагинов делает семью загрузчика гибкой и позволяет расширять набор похищаемых данных (целевые криптоплатформы, мессенджеры и т. п.).

Уровень угрозы и вектор риска

Olymp Loader представляет собой серьёзную угрозу для организаций и частных пользователей, особенно в следующих сценариях:

  • Организации с недостаточно защищёнными рабочими станциями, где пользователи загружают ПО с непроверенных источников.
  • Разработчики и администраторы, которые используют бинарники из открытых репозиториев без верификации подписи.
  • Пользователи криптовалют, чьи кошельки могут быть скомпрометированы через специализированные stealer-модули.

Рекомендации по обнаружению и защите

Практические меры по снижению риска заражения и минимизации ущерба:

  • Не скачивать и не запускать бинарники из непроверенных репозиториев (GitHub и прочие). Использовать официальные источники и проверять цифровые подписи.
  • Ограничить привилегии пользователей: не давать временным аккаунтам права на установку ПО и запись в %AppData%, где это не требуется.
  • Включить и поддерживать актуальность Windows Defender/EDR, мониторить попытки его отключения (PowerShell- и registry‑операции, atypical services).
  • Блокировать исполнение подозрительных процессов, запущенных через cmd/PowerShell, по политике приложения (Application Control, AppLocker).
  • Мониторить сетевую активность на аномальные соединения и эксфильтрацию данных; ограничивать исходящие соединения по белому списку.
  • Для пользователей криптокошельков — использовать hardware wallets, MFA и изолированные среды для транзакций; хранить seed-фразы офлайн.
  • Проводить регулярный анализ и сканирование образцов (отправлять подозрительные файлы в VirusTotal и другие аналитические сервисы).
  • В случае компрометации — изолировать хост, собрать артефакты (процессы, автозапуск, записи реестра), менять учётные данные и оповестить CERT/компетентные службы.

Вывод

Olymp Loader — показатель дальнейшей эволюции угрозного ландшафта: модульный, ориентированный на продажу как услуга, загрузчик на ассемблере с фокусом на обход детектирования и масштабируемость атак. Даже без широкого включения в ботнет-инфраструктуру его гибкие модули по краже данных и поддержка известных RAT делают его привлекательным инструментом для злоумышленников. Организациям и пользователям важно усилить контроль загрузки ПО, повысить карантин для подозрительных бинарников и развернуть комплексные средства обнаружения и реагирования.

Если у вас есть дополнительные образцы или подозрительная активность, рекомендуется передать их в профильную команду безопасности или местный CERT для детального анализа.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Olymp Loader — MaaS на ассемблере для кражи данных".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Финансовые мошенничества
343 тыс интересуются