Специалисты Group-IB обнаружили 34 хак-группы, которые распространяют стилеры. Русскоговорящие злоумышленники использовали их для кражи паролей игровых аккаунтов в Steam и Roblox, «учеток» от Amazon и платежной системы PayPal, а также данных банковских карт и криптокошельков. Общей чертой групп является координация через Telegram-ботов на русском языке, однако атакуют они преимущественно иностранных пользователей из США, Бразилии и Индии.

В своем отчете эксперты рассказывают, что, отслеживая развитие популярной в России мошеннической схемы «Мамонт» (она же Classiscam), они обратили внимание на миграцию «воркеров» (так называют рядовых онлайн-жуликов) в более опасную преступную схему, связанную с распространением стилеров.

Стилеры представляют собой вредоносное ПО, которое ворует с зараженного компьютера логины-пароли из учетных записей в браузерах, в том числе от почтовых сервисов или соцсетей, данные банковских карт, а также информацию о криптовалютных кошельках. После успешной атаки злоумышленники, как правило, идут двумя путями: либо сами «снимают» деньги, благодаря украденным данным, либо продают похищенную ими информацию на теневых формах. По оценкам специалистов Group-IB, в 2022 году стилеры являются одной из самых серьезных угроз.

По данным компании, первые массовые группы и боты в Telegram, созданные для распространения стилеров, начали появляться в начале 2021 года. Проверка некоторых аккаунтов подтвердила версию, что участники нескольких мошеннических групп, специализирующихся ранее на схеме «Мамонт», стали работать со стилерам.

Так, в 2021-2022 годах эксперты выявили в Telegram 34 действующие русскоязычные группы. Десять из них наиболее крупные — на каждую из них приходилось более 30 000 «отстуков», то есть сообщений от стилера, которые получает оператор с зараженной машины. В среднем в каждой группе состоит около 200 участников.

Переключившись с мошенничества на рассылку стилеров, злоумышленники не только копировали иерархию, модель, но и технические наработки «Мамонта». В первую очередь, речь идет о специальных Telegram-ботах, генерирующих вредоносный контент, коммуникацию между участниками и всю их теневую бухгалтерию. Задачи «воркеров» тоже изменились: теперь они должны нагнать трафик на сайт-приманку и заставить жертву скачать вредоносный файл.

Ссылку на скачивание стилеров злоумышленники чаще всего «зашивают» в видеообзоры популярных игр на YouTube, софт для майнига или NTF-файлы на специализированных форумах, розыгрыши и лотереи в соцсетях. По оценкам Group-IB, за 10 месяцев 2021 года (с момента начала исследования 1 марта по 31 декабря) пользователи более 538 000 раз скачали стилеры на свои компьютеры. В этом году ситуация ухудшилась: за первые семь месяцев 2022 года (с 1 января до 1 августа) пользователи загрузили стилеры более 890 000 раз.

Наиболее популярным стилером у изученных групп является RedLine — его использовали 23 из 34 команды. На втором месте Racoon — он стоит на вооружении в 8 командах. Еще в 3 сообществах использовались самописные стилеры.

Обычно администраторы предоставляли своим воркерам и Redline и Racoon бесплатно в обмен на долю похищенных данных или денежное вознаграждение, хотя на черном рынке аренда стилеров Redline и Racoon обходится в 150-200 долларов в месяц. В отдельных группах используется сразу по три стилера, а в некоторых — только один.

По данным аналитиков, 2021 году cреди наиболее часто атакуемых сервисов фигурировали PayPal (более 25%) и Amazon (более 18%). В 2022 году все также лидируют PayPal (более 16%) и Amazon (более 13%). Однако за год почти в пять раз увеличились случаи получения в логах паролей от игровых сервисов (Steam, EpicGames, Roblox).

Самыми атакуемыми странами в 2022 году стали США, Бразилия и Индия. Россия постепенно выбывает из списка приоритетов жуликов: если в 2021 года Россия занимала 15 место по числу пользователей, чьи пароли были украдены с помощью стилеров, то по итогам семи месяцев этого года РФ расположилась на 95 месте.

В общей сложности за десять месяцев 2021 года, по оценкам аналитиков, злоумышленники из изученных групп получили 538 982 логов, 27 875 879 паролей, 1 215 532 572 cookie-файла, данные 56 779 карт, данные 35 791 криптокошельков. За первые семь месяцев 2022 года ими было украдено уже 896 148 логов, 50 352 518 паролей, 2 117 626 523 cookie-файла, данные 103 150 карт, данные 113 204 криптокошельков. Реализовав на теневом рынке только логи и данные карт, злоумышленники, по оценкам экспертов, могли заработать около 350 млн рублей или 5,8 млн долларов США.

«Приток огромного числа воркеров в популярную мошенническую схему “Мамонт” — на ее пике мы фиксировали более 1100 преступных групп и сотни тысяч фейковых сайтов — привел к конкуренции за ресурсы и поиску новых способов преступного заработка, — говорит Евгений Егоров, ведущий аналитик Group-IB Digital Risk Protection. — Популярности схемы с распространением стилеров способствует низкий порог входа: новичку не требуется технических знаний, поскольку процесс полностью автоматизирован через бота, а задача воркера сводится к тому, чтобы создать в Telegram-боте файл со стилером и “нагнать” на него трафик. Но для жертвы, чей компьютер заражен стилером, последствия могут быть очень серьезными».

Источник: xakep