Анализ угроз: HijackLoader и DeerStealer в кибератаках мая 2025 года

В мае 2025 года выявлен рост активности сложного вредоносного ПО HijackLoader и DeerStealer

Эксперты по кибербезопасности зафиксировали значительное увеличение числа атак с использованием сложного вредоносного ПО, включающего загрузчик HijackLoader и программу кражи информации DeerStealer. Атаки основаны на новых методах обхода защиты и фишинговых техниках, что демонстрирует растущую изощренность инструментов киберпреступников и масштаб угрозы для частных пользователей и организаций.

Методика атак и особенности вредоносного ПО

Основным вектором заражения выступает механизм ClickFix, при котором жертвы перенаправляются на фишинговые страницы и через выполнение вредоносных команд в командной строке Windows происходит загрузка и запуск зловредных компонентов. Ключевым этапом атаки является загрузка модифицированной версии библиотеки DLL с названием cmdres.dll, которая не имеет цифровой подписи и служит для облегченного запуска HijackLoader.

HijackLoader, впервые обнаруженный в 2023 году, выделяется использованием технологий стеганографии — он хранит свою конфигурацию и основные операционные модули в зашифрованных PNG-изображениях. После его активации загружается DeerStealer, обеспечивающий хакерам полный доступ к конфиденциальной информации пользователей.

Функциональные возможности DeerStealer

• Извлечение данных криптовалютных кошельков, включая поддержку более 14 криптовалют и свыше 800 браузерных расширений;
• Сбор cookies, паролей и других личных данных из популярных приложений, почтовых клиентов и VPN-сервисов;
• Регистрация нажатий клавиш (keylogging) в реальном времени;
• Поддержка macOS с расширенными функциями AI, включая автоматическую проверку баланса криптовалют;
• Наличие нескольких уровней подписки, предусматривающих развёрнутый функционал — от скрытого шпионского ПО до удаленного управления с помощью виртуальной сети VNC с частотой 30 кадров в секунду;
• Использование современных технологий обфускации и работа в средах, имитирующих виртуальные машины, что затрудняет статический анализ и обнаружение.

Инфраструктура и методы коммуникации

Связь зараженных устройств с сервером управления (C2) организована по протоколу HTTPS. В процессе взаимодействия вредоносное ПО собирает разнообразные системные идентификаторы, включая дату установки ОС и GUID, что позволяет адаптировать атаки под конкретную жертву и увеличивает шансы успешного скрытого проникновения.

Целевые платформы и планы развития

DeerStealer фокусируется на популярных сервисах и мессенджерах, таких как Discord, Telegram, а также на криптовалютных клиентах. В планах злоумышленников — расширение охвата на игровые платформы и дополнительные сервисы обмена сообщениями, что потенциально увеличит число жертв и уровень угроз.

Бизнес-модель и управление ботнетом

Интересной особенностью является коммерческая модель распространения DeerStealer, когда функции и возможности вариативно предоставляются клиентам через подписки. Для управления ботнетом злоумышленники используют удобную браузерную панель, позволяющую одновременно контролировать большое количество зараженных устройств, что усиливает устойчивость и эффективность операций.

Заключение

Обнаруженные модификации и сложная архитектура HijackLoader и DeerStealer демонстрируют значительный прогресс в развитии инфраструктур киберпреступности. Использование сложных техник скрытия, адаптивных методов атаки и широкого функционала кражи данных создают серьёзную угрозу как для индивидуальных пользователей, так и для организаций.

Специалисты по кибербезопасности рекомендуют усилить меры защиты, уделять внимание обучению персонала и использовать совокупность современных средств обнаружения и реагирования для минимизации рисков столкновения с подобными угрозами.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.