Olymp Loader — MaaS на ассемблере для кражи данных

С июня 2025 года в даркнете и на публичных платформах наблюдается активное продвижение нового вредоносного загрузчика — Olymp Loader. Его продаёт группа, позиционирующая себя как «OLYMPO», — объявления и обсуждения ведутся на подпольных форумах и в Telegram. Авторы заявляют, что код полностью написан на ассемблере и является «полностью необнаруживаемым (FUD)», что привлекает покупателей с различным уровнем навыков.

Краткая характеристика и популярность

Несколько ключевых фактов о проекте:

• Формат распространения: Malware-as-a-Service (MaaS) — Olympus Loader предлагается как услуга.
• Язык реализации: полностью на ассемблере, что усложняет анализ и подпись.
• Активность сообщества: в Telegram-канале почти сотня подписчиков, публикуются обзоры и обсуждения.
• Степень распространения: точное число клиентов/заражённых неизвестно, но востребованность заметна.

Методы распространения

Из доступных данных следует, что злоумышленники используют несколько тактик доставки:

• Маскировка под легитимные бинарные файлы, в том числе под установщики/библиотеки вроде Node.js. На GitHub были найдены два бинарных файла с включённым Olymp Loader, замаскированных под нормальный софт.
• Поставляется как дополнительная полезная нагрузка в комплекте с другим вредоносным ПО, например, Amadey, что указывает на возможную модель PPI (оплата за установку).
• Загрузчик часто запускается из командной строки и копируется в каталог %AppData% для устойчивого присутствия.

Поведение на скомпрометированной системе

Исследования образцов показывают следующие типичные действия Olymp Loader при выполнении:

• Попытки отключения защитных механизмов Windows, в том числе Windows Defender, перед выполнением полезной нагрузки.
• Копирование исполняемого файла в %AppData% и запуск уже оттуда.
• Непосредственное развёртывание и выполнение полезных нагрузок; в последних версиях функциональность ботнета была удалена в пользу тесной интеграции payload’ов.
• Поддержка пользовательских модулей, взаимодействующих через выделенный API, что облегчает расширение функциональности под требования клиента.

Типичные полезные нагрузки и инструменты постинфицирования

Ориентация разработчиков — максимизация кражи данных и полного контроля над системой. Среди наблюдаемых payload’ов и инструментов постинфекции:

• Stealers: модули для кражи данных из браузеров, криптокошельков и мессенджеров (Telegram stealer, browser stealer, crypto wallet stealer).
• RAT и C2: LummaC2, WebRAT, QasarRAT, Raccoon — часто используются в связке с Olymp Loader для удалённого управления и эксфильтрации данных.
• Модули для взаимодействия через API, что даёт возможность даже малокомпетентным злоумышленникам быстро запускать специализированные операции по краже.

Технические наблюдения

Дополнительные технические детали, зафиксированные исследователями:

• Несколько версий загружались на VirusTotal для тестирования: наблюдались запуски через командную строку и копирование в %AppData%.
• Последние апдейты устранили ботнет-компонент и усилили интеграцию полезных нагрузок: payload’ы выполняются сразу после подавления защитника Windows.
• Наличие модульной архитектуры с API для плагинов делает семью загрузчика гибкой и позволяет расширять набор похищаемых данных (целевые криптоплатформы, мессенджеры и т. п.).

Уровень угрозы и вектор риска

Olymp Loader представляет собой серьёзную угрозу для организаций и частных пользователей, особенно в следующих сценариях:

• Организации с недостаточно защищёнными рабочими станциями, где пользователи загружают ПО с непроверенных источников.
• Разработчики и администраторы, которые используют бинарники из открытых репозиториев без верификации подписи.
• Пользователи криптовалют, чьи кошельки могут быть скомпрометированы через специализированные stealer-модули.

Рекомендации по обнаружению и защите

Практические меры по снижению риска заражения и минимизации ущерба:

• Не скачивать и не запускать бинарники из непроверенных репозиториев (GitHub и прочие). Использовать официальные источники и проверять цифровые подписи.
• Ограничить привилегии пользователей: не давать временным аккаунтам права на установку ПО и запись в %AppData%, где это не требуется.
• Включить и поддерживать актуальность Windows Defender/EDR, мониторить попытки его отключения (PowerShell- и registry‑операции, atypical services).
• Блокировать исполнение подозрительных процессов, запущенных через cmd/PowerShell, по политике приложения (Application Control, AppLocker).
• Мониторить сетевую активность на аномальные соединения и эксфильтрацию данных; ограничивать исходящие соединения по белому списку.
• Для пользователей криптокошельков — использовать hardware wallets, MFA и изолированные среды для транзакций; хранить seed-фразы офлайн.
• Проводить регулярный анализ и сканирование образцов (отправлять подозрительные файлы в VirusTotal и другие аналитические сервисы).
• В случае компрометации — изолировать хост, собрать артефакты (процессы, автозапуск, записи реестра), менять учётные данные и оповестить CERT/компетентные службы.

Вывод

Olymp Loader — показатель дальнейшей эволюции угрозного ландшафта: модульный, ориентированный на продажу как услуга, загрузчик на ассемблере с фокусом на обход детектирования и масштабируемость атак. Даже без широкого включения в ботнет-инфраструктуру его гибкие модули по краже данных и поддержка известных RAT делают его привлекательным инструментом для злоумышленников. Организациям и пользователям важно усилить контроль загрузки ПО, повысить карантин для подозрительных бинарников и развернуть комплексные средства обнаружения и реагирования.

Если у вас есть дополнительные образцы или подозрительная активность, рекомендуется передать их в профильную команду безопасности или местный CERT для детального анализа.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.