Масштаб проблемы: глобальная статистика инфостилеров в

Home Масштаб проблемы: глобальная статистика инфостилеров в
1759882392248

Масштаб проблемы: глобальная статистика инфостилеров в 2025 году

Контекст атак Stealit становится ещё более тревожным на фоне общей эпидемии инфостилеров:

Глобальная статистика 2025:

  • 📊 В первой половине 2025 года зафиксировано 2.67 миллиона инфекций инфостилеров по всему миру
  • 📈 3,662 жертвы программ-вымогателей отслежены глобально в H1 2025, причём США составляют более половины всех жертв
  • 🚨 Ежедневно системы кибербезопасности обнаруживают около 560,000 новых образцов малвари
  • 💹 Рост числа жертв на 54% год к году по сравнению с 2024 годом

Историческая динамика:

  • Инфекции малвари, крадущей данные, выросли в семь раз с 2020 года
  • К 2024 году существовало более 1.2 миллиарда уникальных образцов малвари
  • Более 100 миллионов новых штаммов малвари было идентифицировано в 2023 году

🎮 Метод распространения: поддельные установщики

Целевые приманки

Вредонос распространяется через поддельные установщики игр и VPN-приложений, которые загружаются на файлообменные сайты, такие как Mediafire и Discord. Киберпреступники используют популярность этих платформ среди геймеров и пользователей, заботящихся о конфиденциальности.

Технология обхода защиты

Оба подхода (SEA и Electron framework) эффективны для распространения малвари на основе Node.js, поскольку они позволяют выполнение без требования предустановленной среды выполнения Node.js или дополнительных зависимостей, — отмечают исследователи безопасности Эдуардо Альтарес и Джои Сальвио.

💰 Malware-as-a-Service: бизнес-модель киберпреступников

Коммерческое предложение Stealit

На специализированном веб-сайте злоумышленники, стоящие за Stealit, заявляют о предоставлении “профессиональных решений для извлечения данных” через несколько планов подписки.

Тарифные планы Windows Stealer:

  • 💵 $29.99 — недельная подписка
  • 💵 $499.99 — пожизненная лицензия

Тарифы Android RAT:

  • 💵 $99.99 — начальный план
  • 💵 $1,999.99 — максимальный тариф

Возможности трояна

Функционал включает троян удалённого доступа (RAT), который поддерживает извлечение файлов, управление веб-камерой, мониторинг экрана в реальном времени и развёртывание программ-вымогателей, нацеленных как на Android, так и на операционные системы Windows.

🔍 Технический анализ: как работает Stealit

Многоступенчатая атака

Этап 1: Инфицирование Поддельные исполняемые файлы содержат установщик, предназначенный для получения основных компонентов малвари с командного сервера (C2) и их установки, но перед этим выполняется ряд антианализных проверок, чтобы убедиться, что программа работает внутри виртуальной или изолированной среды.

Этап 2: Аутентификация Критически важный аспект этого шага включает запись Base64-кодированного ключа аутентификации — 12-символьного буквенно-цифрового ключа — в файл %temp%\cache.json. Этот ключ используется для аутентификации на сервере C2, а также подписчиками для входа в панель управления, чтобы, вероятно, отслеживать и контролировать своих жертв.

Этап 3: Обход защиты Малварь также спроектирована для настройки исключений антивируса Microsoft Defender, чтобы папка, содержащая загруженные компоненты, не помечалась как подозрительная.

🛠️ Три исполняемых модуля Stealit

save_data.exe — Кража данных браузера

Загружается и выполняется только при работе малвари с повышенными привилегиями. Предназначен для сброса инструмента “cache.exe” (часть проекта ChromElevator с открытым исходным кодом) для извлечения информации из браузеров на основе Chromium.

Цели:

  • Google Chrome
  • Microsoft Edge
  • Brave
  • Opera
  • Другие Chromium-браузеры

stats_db.exe — Кража данных мессенджеров и кошельков

Предназначен для извлечения информации из мессенджеров (Telegram, WhatsApp), криптовалютных кошельков и расширений браузера (Atomic и Exodus), а также игровых приложений (Steam, Minecraft, GrowTopia и Epic Games Launcher).

Похищаемые данные:

  • 💬 Сообщения и контакты из Telegram, WhatsApp
  • 💰 Приватные ключи криптокошельков
  • 🎮 Аккаунты Steam, Epic Games, Minecraft
  • 🔑 Пароли и токены доступа

game_cache.exe — Закрепление и удалённый контроль

Предназначен для установки постоянного присутствия на хосте путём запуска при перезагрузке системы через создание Visual Basic скрипта и связи с сервером C2 для трансляции экрана жертвы в реальном времени, выполнения произвольных команд, загрузки/выгрузки файов и изменения обоев рабочего стола.

Возможности RAT:

  • 📹 Трансляция экрана в реальном времени
  • ⚙️ Выполнение команд удалённо
  • 📁 Загрузка и выгрузка файлов
  • 🖼️ Изменение обоев (психологическое давление)
  • 🔄 Автозапуск после перезагрузки
bundle
bundle

🎯 Кто в зоне риска?

Целевые группы пользователей

Геймеры:

  • Ищущие “бесплатные” версии платных игр
  • Скачивающие моды и читы
  • Использующие неофициальные лаунчеры

Пользователи VPN:

  • Ищущие бесплатные VPN-сервисы
  • Скачивающие взломанные премиум-версии
  • Использующие сомнительные источники

Криптоинвесторы:

  • Пользователи криптокошельков (Atomic, Exodus)
  • Трейдеры на различных биржах
  • Держатели NFT и токенов

🛡️ Как защититься от Stealit и подобных угроз

Превентивные меры

1. Безопасность источников ПО

  • ✅ Загружайте только с официальных сайтов разработчиков
  • ✅ Проверяйте цифровые подписи файлов
  • ✅ Избегайте Mediafire, Discord для загрузки ПО
  • ❌ Никогда не используйте “взломанные” версии

2. Многоуровневая защита

  • 🛡️ Используйте современный антивирус с поведенческим анализом
  • 🔒 Включите Windows Defender и не отключайте его
  • 🌐 Используйте файрвол и мониторинг сетевой активности
  • 🔄 Регулярно обновляйте ОС и приложения

3. Минимизация ущерба

  • 🔐 Используйте двухфакторную аутентификацию везде
  • 💾 Храните критичные данные в зашифрованном виде
  • 🔑 Используйте менеджеры паролей
  • 📱 Храните seed-фразы криптокошельков офлайн

4. Мониторинг активности

  • 👁️ Регулярно проверяйте запущенные процессы
  • 📊 Мониторьте сетевую активность
  • 🗂️ Проверяйте папку автозагрузки (msconfig)
  • 🔍 Используйте сканеры исходящих ссылок на своих сайтах

🚨 Признаки заражения Stealit

Индикаторы компрометации (IoC)

Файловая система:

  • 📄 Наличие файла %temp%\cache.json
  • 🔧 Неизвестные .exe файлы: save_data.exe, stats_db.exe, game_cache.exe
  • 📝 Подозрительные VBS-скрипты в автозагрузке
  • 🗂️ Папка cache.exe с инструментами ChromElevator

Системные изменения:

  • ⚙️ Новые исключения в Windows Defender
  • 🔄 Незнакомые записи в автозагрузке
  • 🖼️ Неожиданные изменения обоев рабочего стола
  • 🌐 Подозрительные сетевые соединения

Поведенческие признаки:

  • 🐌 Замедление работы системы
  • 📡 Высокая сетевая активность в фоне
  • 🔋 Повышенное энергопотребление
  • 💾 Необъяснимая активность диска

🔬 Экспертное мнение: почему это опасно

Уникальность угрозы

“Эта новая кампания Stealit использует экспериментальную функцию Node.js Single Executable Application (SEA), которая всё ещё находится в активной разработке, для удобного распространения вредоносных скриптов на системы без установленного Node.js”, — отмечает Fortinet.

“Злоумышленники, стоящие за этим, могут эксплуатировать новизну функции, полагаясь на эффект неожиданности и надеясь застать врасплох приложения безопасности и аналитиков малвари”.

Эволюция киберугроз

Появление Stealit демонстрирует несколько тревожных трендов:

  1. Коммерциализация киберпреступности — модель MaaS (Malware-as-a-Service) делает продвинутые атаки доступными даже для неопытных злоумышленников
  2. Использование легитимных технологий — Node.js SEA и Electron framework — это легитимные инструменты разработки, что затрудняет детектирование
  3. Целевые социальные инженерные атаки — фокус на геймеров и пользователей VPN показывает глубокое понимание психологии жертв
  4. Мультиплатформенность — поддержка Windows и Android расширяет потенциальную базу жертв

📊 Финансовые потери от инфостилеров

Экономический ущерб

Глобальные потери:

  • Киберпреступность обходится мировой экономике примерно в $787,671 в час в 2021 году. За год это составляет $6,899,997,960 потерянных по всему миру

Региональная статистика:

  • Британские предприятия потеряли около £736 миллионов из-за киберпреступности в 2021 году. Включая потребителей, убытки достигают £2.5 миллиарда

Прогноз на 2025: С учётом роста инфекций инфостилеров на 54% год к году, финансовые потери в 2025 году могут превысить $10 миллиардов глобально.

🔮 Что дальше: прогноз развития угрозы

Ожидаемая эволюция Stealit

Краткосрочная перспектива (3-6 месяцев):

  • Расширение целевых платформ (macOS, Linux)
  • Интеграция с другими MaaS-платформами
  • Улучшение методов обхода антивирусов
  • Использование AI для адаптивных атак

Долгосрочные тренды:

  • Автоматизация всего цикла атаки
  • Персонализированные атаки на основе профилирования
  • Интеграция с ransomware-группами
  • Атаки на корпоративные сети через личные устройства сотрудников

🎓 Выводы и рекомендации

Кампания Stealit представляет собой серьёзную угрозу, демонстрирующую, как киберпреступники адаптируются и используют новейшие технологии для обхода защиты. Коммерческая модель подписки снижает барьер входа для потенциальных злоумышленников, что может привести к всплеску подобных атак.

Ключевые выводы:

  1. Не доверяйте неофициальным источникам — даже если файл выглядит легитимно
  2. Многоуровневая защита обязательна — один антивирус недостаточен
  3. Образование критично — большинство инфекций происходит из-за человеческого фактора
  4. Регулярный мониторинг — проактивная позиция лучше реактивной

В эпоху, когда ежедневно появляется 560,000 новых образцов малвари, только комплексный подход к кибербезопасности может обеспечить надёжную защиту.