Эволюция Infostealer: новые угрозы и методы доставки в 2024 году
Инфокрады и новая эра киберугроз: как Rhadamanthys изменяет ландшафт
Вредоносное ПО категории Infostealer продолжает эволюционировать, становясь всё более изощрённым и опасным для пользователей по всему миру. Особое внимание экспертов привлёк недавний взлёт уязвимости методов доставки, в частности, кампаний по исправлению кликов (ClickFix или ClearFix), которые сделали атаку максимально эффективной и незаметной. В центре внимания – инфокрад Rhadamanthys, пришедший на смену закрытой правоохранительными органами платформе Lumma Stealer.
Ликвидация Lumma Stealer и появление новых игроков
До 2024 года Lumma Stealer был одним из самых заметных представителей инфокрадов, распространявшихся по модели Мalware-as-a-Service. Несмотря на недавнюю ликвидацию компании, которая занималась его разработкой и распространением, экосистема инфокрадов не только сохранилась, но и получила устойчивое развитие благодаря появлению новых конкурентов.
- Rhadamanthys — новый игрок, активно использующий методику ClickFix для успешного внедрения в системы жертв;
- Другие известные Infostealer 2023 года — Raccoon, RedLine, Vidar — наряду с новичками Mystic и Aurora;
- Модель распространения как вредоносного ПО как услуги (MaaS), где хакеры получают доступ к серверам управления (C2) по подписке.
ClickFix / ClearFix — прорыв в тактиках доставки вредоносного ПО
Метод ClickFix (также известный как ClearFix) стал одной из самых заметных инноваций второй половины 2024 года. Суть его заключается в использовании социальной инженерии, когда жертв убеждают выполнить цепочку вредоносных команд PowerShell. Эти команды маскируются под этапы проверки или взаимодействия с системой, что значительно повышает вероятность их выполнения.
В частности, в случае с Rhadamanthys применяется следующий сценарий атаки:
- Фишинговые рассылки с командными инструкциями, замаскированными под легитимные процессы;
- Запуск процесса с помощью
mshta.exeдля инициации вредоносного кода; - Фоновое выполнение сложных PowerShell-скриптов, избегая обнаружения;
- Загрузка полезной нагрузки непосредственно с управляющего сервера C2.
Технические особенности Rhadamanthys
Rhadamanthys представляет собой модульный Infostealer с многоуровневой архитектурой, позволяющей гибко реагировать на изменения в окружающей среде и обновлять систему защиты от обнаружения. Основные этапы работы вредоносного ПО включают:
- Инициализация загрузчика: подготовка к следующим этапам заражения;
- Сбор информации о системе: анализ параметров машины и процессов;
- Кража и удаление данных: основной этап, когда злоумышленник получает доступ к конфиденциальной информации.
Выделяются следующие продвинутые возможности Rhadamanthys:
- Модули на базе анализа изображений и распознавания текста для тщательного поиска ценной информации;
- Маскировка под файлы установщика Microsoft, повышающая шансы на обход систем безопасности;
- Сбор широкого спектра данных — от учётных записей в браузерах до содержимого криптовалютных кошельков;
- Отправка украденной информации на C2-серверы для последующего анализа и использования.
Тенденции и перспективы развития рынка инфокрадов
Эволюция Lumma Stealer и появление Rhadamanthys демонстрируют важную тенденцию современного киберпреступного ландшафта: всё более глубокую интеграцию Infostealer в сложные дистрибутивные сети. Преступники активно используют разнообразные законные платформы и инструменты для доставки вредоносного ПО, что осложняет их обнаружение и нейтрализацию.
Динамика распространения украденных учётных данных иллюстрирует изменение рынка — от разрозненных операций до мощной универсальной среды, где данные поступают от множества Infostealer и анализируются для максимизации прибыли.
Таким образом, современный рынок Infostealer остаётся высокодинамичным, где новые инструменты и угрозы быстро заменяют устаревшие методы, заставляя специалистов по кибербезопасности постоянно повышать уровень защиты.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
