РУССКИЙ
РУССКИЙ
ENGLISH
23 ноября 2022

Стилеры и где они обитают

Исследование одной из самых серьезных угроз в сфере кибербезопасности 2022 года
Евгений Егоров
ведущий аналитик Digital Risk Protection Group-IB
Мария Синицина
аналитик Digital Risk Protection Group-IB
Сайт-двойник Microsoft предлагал скачать новую версию операционной системы Windows 11 — без регистрации и завышенных технических требований к компьютеру. Мало кто из пользователей обратил внимание, что при скачивании архив весил всего 1,5 МБ — подозрительно мало для целой операционной системы. Чудеса начались позже: после распаковки и запуска файла с расширением .exe, установка новой операционки так и не начиналась. Зато чуть позже с банковских карт, электронных и криптокошельков жертвы начинали пропадать деньги, а в соцсетях, почтовых и игровых сервисах появлялась подозрительная активность. Что это было?
Это был стилер — вредоносное программное обеспечение, предназначенное для кражи ценных данных с зараженной машины, таких как куки-файлы, логины и пароли, скрины с рабочего стола.

Описанная выше атака является лишь одним из многочисленных способов распространения стилеров, которые, будучи закриптованными, то есть закодированными, легко обходят антивирусную защиту.

Пользователь может даже не подозревать, что произошло заражение и его данные уже попали в руки мошенников. По оценкам специалистов Group-IB, в 2022 году стилеры являются одной из самых серьезных угроз в сфере кибербезопасности.
В 2021-2022 годах эксперты Group-IB выявили в Telegram 34 действующие русскоязычные группы. Десять из них наиболее крупные — на каждую из них приходилось более 30 000 «отстуков», то есть сообщений от стилера, которые получает оператор с зараженной машины.

Наиболее популярным стилером у изученных групп является RedLine — его использовали 23 из 34 команды. На втором месте Racoon — он стоит на вооружении в 8 командах. В 3 сообществах использовались самописные стилеры.
Популярные у русскоязычных злоумышленников стилеры RedLine и Racoon собирают информацию о системе, в которую входят:
1
Имя пользователя;
2
Имя компьютера;
3
Список установленного программного обеспечения;
4
Подробности об оборудовании;
5
Сохраненные в браузерах пароли, куки, данные банковских карт и криптовалютных кошельков.
Если пользователь заходил с этого компьютера во «ВКонтакте», «Яндекс», Mail.ru или Gmail, то мошенники могут получить доступ к его аккаунтам в этих сервисах. Для этого достаточно загрузить куки, хранящиеся в браузере, — даже без ввода пароля.

Сохраненные пароли также могут помочь получить доступ ко многим, даже достаточно защищенным сервисам. Обычно украденные почтовые аккаунты потом используются для рассылки спама, а данные для входа в игровые сервисы продаются. Но если на ПК будут данные от карт и криптокошельков, то мошенник также может украсть деньги пользователя.
По оценкам Group-IB, с марта до конца 2021 года пользователи скачали стилеры более 538 тысяч раз. В этом году ситуация ухудшилась: за первые 7 месяцев 2022 года пользователи загрузили вирусные файлы более 890 тысяч раз.

Кого атакуют стилеры

Изучив канал с отстуками самых крупных групп, мы выделили наиболее часто встречающиеся сервисы, данные которых были похищены. По данным Group-IB, в 2021 году cреди наиболее часто атакуемых сервисов фигурировали PayPal — более 25% и Amazon — более 18%. В 2022 году всё также лидируют PayPal (более 16%) и Amazon (более 13%). Однако за год почти в 5 раз увеличились случаи получения в логах паролей от игровых сервисов (Steam, EpicGames, Roblox).
Топ-3 наиболее атакуемых стран в 2022 году занимали США, Бразилия и Индия. Россия постепенно выбывает из списка приоритетов жуликов: если в 2021 года Россия занимала 15 место по числу пользователей, чьи пароли были украдены с помощью стилеров, то по итогам семи месяцев этого года РФ расположилась на 95-м месте.

По числу доступов к криптокошелькам Россия сместилась с 1 на 11 место. Сокращение количества украденных данных связано с прекращением атак некоторых русскоязычных групп на пользователей из России из-за повышенных рисков привлечения к уголовной ответственности.

Откуда такие масштабы?

Как мы выяснили, в схеме с распространением стилеров стала активно использоваться модель, технические наработки и иерархия популярной в России мошеннической схемы «Мамонт». То есть аферисты, которые раньше работали по купле-продаже на досках объявлений, курьерской доставке, бронировании или аренде, переключились на рассылку стилеров.

Изменился сам подход к привлечению трафика, поменялась коллекция брендов-приманок, тип данных, которые они воруют, и, собственно, самая главная задача воркеров (рядовой участник мошеннической схемы "Мамонт"). Если раньше пользователь под присмотром воркера сам вводил необходимые данные в полученную фейковую форму оплаты, то теперь задача атакующего — заставить жертву скачать вредоносный файл.

Среда обитания

Мошенники используют различные схемы распространения стилеров:
  • Видео на YouTube
    Злоумышленник выкладывает на канал видео с обзором мода для какой-либо игры — созданного сторонними разработчиками дополнения. Ссылку на скачивание оставляет в описании или в закрепленном комментарии. Мошенник может даже не выкладывать свой ролик: иногда достаточно опубликовать ссылку на архив как комментарий к видео другого пользователя. Бывает, что используются аккаунты, которые ранее тоже были угнаны с помощью стилера.

    На данном скриншоте мошенник спрашивает в чате, можно ли использовать аккаунт для залива видео и распространения стилера:
Здесь использование Telegram скорее исключение — обычно используют файлообменники и короткие ссылки. Спустя несколько часов в аккаунте появилось видео со ссылкой на скачивание:
Также мошенники стали часто распространять вредоносные файлы под видом ссылки для скачивания взломанных популярных сервисов:
  • Форумы
    Для распространения могут использоваться различные форумы — как игровые, так и специализированные, например про майнинг криптовалют. Соответственно, публикуются посты (зачастую скопированные) со ссылкой на скачивание мода или специальный софт для того же майнинга. Часто для большего доверия со стороны пользователей мошенники сначала брутфорсят данные для входа других участников обсуждений и из полученных аккаунтов ищут пользователей с хорошим рейтингом на форуме, чтобы публиковать посты от его лица. Большую прибыль дают логи, полученные с форумов про майнинг: если пользователь скачивает софт для майнинга, то, как правило, он имеет криптовалютный кошелек.
  • Социальные сети
    Мошенник может находить посты, например, с розыгрышами, копировать аккаунт администратора группы, в которой этот розыгрыш проводился, и потом писать участникам, что они выиграли и надо только заполнить анкету в специальном приложении. После этого злоумышленник скидывает им файл или ссылку на это “приложение”. Также мошенник может распространять стилер с помощью постов-приманок, например, с описанием схемы заработка. Этот способ использовался ранее (судя по мануалам), но сейчас уже не актуален.
  • NFT
    Распространение с помощью NFT приносит много прибыли, так как большинство жертв авторизованы через компьютер в своем криптокошельке. На сайтах по продаже NFT мошенник выбирает художника и с помощью открытых источников проверяет содержимое его кошелька и, если он пустой, ищет нового автора-жертву. Далее, используя ник, находит этого художника в социальных сетях, пишет ему и в процессе диалога присылает ссылку на скачивание файла. Она может быть подана, например, как подборка работ или список документов.
Также вредоносный файл может распространяться через почту:
  • Сайты-буксы
    Буксы — это ресурсы, на которых публикуются задания по типу “зайти на сайт”, “зарегистрироваться”, “скачать и установить”. Мошенники публиковали задание “скачать и установить” и прикладывали к нему ссылку на скачивание стилера. Данный способ также уже не актуален, так как сайты-буксы перестали пользоваться популярностью.
  • Сайты-клоны
    Не так давно киберпреступники распространяли стилеры под прикрытием установщика Windows 11. На сайте, который копирует сайт Microsoft, пользователям предлагалось скачать установщик ОС Windows 11. Ранее такая схема уже была замечена с другими приложениями и компаниями.

Группа любителей стилеров

Чтобы вступить в группу и начать использовать стилеры, новичку необходимо пройти собеседование. Оно может отличаться в зависимости от группы, но в основном организаторы требуют ссылки на аккаунт на известных форумах, спрашивают про опыт и получают согласие с правилами группы.

Например:
Обычно заявки на вступление рассматривались администратором в течение нескольких часов, но в некоторых группах зачисление происходит моментально.
Структура группы
Большинство групп имеет схожую структуру и состоит из нескольких позиций:
  • Бот
    Через него происходит вступление в группу, получение или отправка заявки на получение вирусного файла для распространения (билд), управление логами и выплатами.
  • Чат группы
    Обычный чат, где воркеры общаются с друг другом.
  • Канал с отстуками о результатах работы стилера
    В нем публикуется статистика о полученных стилером данных с каждого атакованного ПК отдельно.
  • Новостной канал
    Существует не во всех группах. В нем публикуют новости о внутренних конкурсах, рассказывают о новых возможностях в группе, а также о временных сбоях в работе стилера, когда такие бывают.

Работа

После вступления в группу новичку предлагается прочитать мануалы для работы. Мануалы могут быть как пошаговой инструкцией к распространению данных, так и инструкцией к инструментам, которые воркер может использовать для большей продуктивности.

Например:
Далее воркер должен получить сам вирусный файл (он же билд) в боте, от администратора или от ответственного за это члена группы.

После получения билда воркер приступает к основной части своей работы, распространению файла.
Также некоторые группы предлагают для распространения готовые лендинги с админ-панелью:
После установки стилера на компьютер жертвы в канале с отстуками публикуется пост с результатами данного лога. Обычно в него входят:

  • ник воркера
  • количество куки-файлов
  • данные для входа в аккаунт пользователя на различных сайтах
  • данные карт, сохраненных на этом компьютере
  • данные для криптокошельков
  • сервисы, от которых были получены куки и данные для входа

Сам итоговый файл с полученной информацией может присылаться воркеру через бота или в личные сообщения. Иногда обработку и продажу данных берет на себя группа, тогда воркеру выплачивают процент от продажи украденных данных.
Продав на теневом рынке данных только логи и данные карт, злоумышленники могли заработать около 350 млн рублей.
Рекомендации для интернет-пользователей
  • Не скачивать и не устанавливать ПО из сомнительных источников.
  • Если установить всё же надо, то перед скачиванием стоит проверить файл на вирусы, например в VirusTotal.
  • Для установки лучше использовать виртуальную машину или альтернативную операционную систему, в которых вы не храните данные и которые можно безболезненно удалить. Системы должны быть изолированными, то есть такими, которые не имеют доступа к данным основной системы, общих папок и возможности открытого обмена файлами.
  • Лучше не сохранять пароли в браузере и не хранить пароли в обычных файлах.
  • Регулярно чистить куки-данные браузеров для минимизации рисков.
  • Пользоваться менеджерами паролей, например KeePass.
Рекомендации для компаний
  • Детальное исследование уже обнаруженной инфраструктуры.
  • Информирование пользователей о возможных угрозах и защита их аккаунтов.
  • Постоянный проактивный мониторинг неправомерного использования бренда.
  • Мониторинг сайтов на предмет утечки данных и поиск уязвимостей в мерах безопасности.
  • Привлечение вендоров DRP для мониторинга, обнаружения и реагирования на подозрительную активность в интернете.
Компаниям для избежания цифровых рисков и нежелательных последствий стоит проактивно заниматься цифровой безопасностью своего бренда и использовать современные технологии для мониторинга и реагирования — такие как Digital Risk Protection.