Исследователи AhnLab Security Intelligence Center (ASEC) зафиксировали резкий рост активности вредоносных программ, распространяемых под видом взломанного ПО и генераторов ключей. По данным за июнь 2025 года, именно такие дистрибутивы стали основным каналом заражения систем инфостилерами — вредоносами, нацеленными на сбор персональных и учётных данных.
Главным механизмом распространения стало SEO-маскирование. Злоумышленники продвигали сайты с вредоносным контентом в результатах поисковых систем, чтобы они выглядели как надёжные источники популярных программ, например, WinRAR или Photoshop. Это позволяло заражать устройства пользователей, намеренно ищущих «бесплатные» версии программ с «таблеткой».
Для оперативного реагирования ASEC задействовал сразу несколько автоматизированных платформ: системы мониторинга взломанного ПО, ловушки на почтовых серверах и инструменты анализа командных серверов. С их помощью специалисты в реальном времени извлекали вредоносные образцы, отслеживали управляющие инфраструктуры и передавали данные в реестр IOC ATIP, позволяющий организациям заранее блокировать вредоносные соединения.
В отчёте подчёркивается, что лидером по объёму заражений остаётся LummaC2, но ему составляют конкуренцию Rhadamanthys, Vidar, StealC и особенно ACRStealer — инфостилер нового поколения, обладающий развитой модульной структурой и возможностью обходить классические методы защиты.
Распространение вредоносов активно ведётся через легитимные платформы. Мошенники размещают ссылки в комментариях, на форумах, в FAQ-сервисах и на слабо модерируемых страницах, что позволяет им обходить фильтры и антивирусные барьеры. На долю EXE-файлов приходится почти 95% заражений, остальные используют технику DLL SideLoading — маскируются под библиотеки, вызываемые доверенными приложениями, что делает их невидимыми для стандартных защитных решений.
Особую опасность представляет новая редакция ACRStealer. Она функционирует по модели «вредонос как услуга» (MaaS), использует низкоуровневые системные вызовы NT-функций, ручную загрузку библиотек, подмену HTTP-доменов и технику Heaven’s Gate, позволяющую преодолевать архитектурные ограничения между 32- и 64-битными средами.
Некоторые модификации вредоносных программ демонстрируют повышенную изощрённость. Они маскируются под легитимные инсталляторы, проникают в системные каталоги и прописываются в автозагрузку. После перезагрузки система подвергается атаке через поддельные обновления браузеров, таких как Opera, с внедрением дополнительного вредоносного кода.