Стиллеры | Роль в современных реалиях

Вся представленная информация взята из открытых источников, носит исключительно ознакомительный характер и не призывает приступать к действиям!

Создано при поддержке канала LummaC2

Что такое стиллер?

Это вредоносное программное обеспечение, предназначенное для кражи ценных данных с зараженной машины, таких как куки-файлы, логины и пароли, скрины с рабочего стола и др.

Как работает стиллер?

Данный вирус пробирается в хранилища часто используемых программ (в основном браузеров) и ворует оттуда все: сохраненные вами файлы Cookie, логины и пароли. Затем, стиллер отправляет полученные данные злоумышленнику на почту.

Иногда у такого типа вируса есть дополнительная функция самоудаления. Наивный пользователь даже и не поймет, что его информацию похитили, пока пароль не перестанет подходить к его, например, почте, социальной сети или чего хуже, к электронным кошелькам.

Почему эта атака настолько опасно? Зачастую, антивирусные программы против стиллера бессильны, ибо малварь можно без труда закриптовать.

Когда инфицированная программа начинает работу, то сначала управление получает вирус. Вирус заражает другие программы, а также выполняет запланированные деструктивные действия. Для маскировки своих действий вирус активизируется не всегда, а лишь при выполнении определенных условий (истечение некоторого времени, выполнение определенного числа операций, наступления некоторой даты или дня недели и т. д.).

Стиллер представляет собой программный код, который служит для хищения паролей и прочих данных с компьютера. Раньше данные отправлялись на сниффер, но сейчас уже активно по Интернету распространены коды, которые отправляют похищенное в телеграмм.

Принцип работы вредоноса

Cтиллеры бывают разные, от разных кодеров с разными возможностями. Они могут воровать все сохраненные вами пароли из всех браузеров, сессию из телеграмма и прочих мессенджеров, куки файлы (для входа на сайты), файлы кошельков популярных криптовалют для дальнейшего их обналичивания, файлы с рабочего стола определенного расширения .doc/.docx/.txt/.log (часто люди хранят файлик с паролями прямо на рабочем столе).

Все эти данные приходят вам в админ-панель от стиллера, где указано с какого IP адреса и имени компьютера это все прилетело. Грубо говоря мы можем забрать все самое ценное, что может быть на компьютере.

После покупки по (вируса) вам, как правило, выдают готовую к использованию версию софта с доступом в админ-панель, к тому же дополнительно настраивать уже ничего не нужно. Пример панели на рисунке ниже.

Как самому не стать лохматым ?

Для начала нужно поставить хороший антивирус, ведь он хоть как-то защищает. Без антивируса вы будете «ловить» все подряд. В Интернете часто пишут, что такое стиллер и как его создать, даже предоставляют программы для их создания. Но зачастую программы не работают, а в них самих есть стиллер. Каждый скачиваемый файл нужно проверить обязательно, чтобы не потерять свои данные. Также существуют программы, которые удаляют стиллер с компьютера. Рекомендуется еще проверять ПК на наличие вирусов с помощью специальных утилит, например, DrWeb Cure It.

В сети интернет мало информации о том, что такое «Стиллеры» и как ими пользоваться. Нужно помнить о том, что они создаются не просто так, ради забавы. Основной их целью является добыча полезной информации с компьютера жертвы для последующей монетизации.

Храните ваши пароли в облаке, пароль от которого вы будете знать на память, это самый надежный способ защитить свои данные. Никогда не сохраняйте пароли и не используйте никакие автозаполнения форм, когда вы например используете обменники валют в автозаполнение могут попасть данные вашей карты, ваш номер телефона и e-mail.

Рынок стилеров

Наиболее популярным стиллером на сегодняшний день является LummaC2 На втором месте Racoon и закрывает тройку лидеров старичок индустрии RedLine.

Популярные у русскоязычных злоумышленников стилеры собирают информацию о системе, в которую входят:

• Имя пользователя;
• Имя компьютера;
• Список установленного программного обеспечения;
• Подробности об оборудовании;
• Сохраненные в браузерах пароли, куки, данные банковских карт и криптовалютных кошельков.

Если пользователь заходил с этого компьютера во «ВКонтакте», «Яндекс», Mail.ru или Gmail, то мошенники могут получить доступ к его аккаунтам в этих сервисах. Для этого достаточно загрузить куки, хранящиеся в браузере, — даже без ввода пароля.

Сохраненные пароли также могут помочь получить доступ ко многим, даже достаточно защищенным сервисам. Обычно украденные почтовые аккаунты потом используются для рассылки спама, а данные для входа в игровые сервисы продаются. Но если на ПК будут данные от карт и криптокошельков, то мошенник также может украсть деньги пользователя.

Методы распространения и трафик

Мошенники используют различные схемы распространения стиллеров от точечных атак до инсталлов:

Видео на YouTube

Воркер выкладывает на канал видео с обзором мода для какой-либо игры — созданного сторонними разработчиками дополнения. Ссылку на скачивание оставляет в описании или в закрепленном комментарии. Воркер может даже не выкладывать свой ролик: иногда достаточно опубликовать ссылку на архив как комментарий к видео другого пользователя. Бывает, что используются аккаунты, которые ранее тоже были угнаны с помощью стиллера.

Также стали часто распространять вредоносные файлы под видом ссылки для скачивания взломанных популярных сервисов:

Форумы

Для распространения могут использоваться различные форумы — как игровые, так и специализированные, например про майнинг криптовалют. Соответственно, публикуются посты (зачастую скопированные) со ссылкой на скачивание мода или специальный софт для того же майнинга. Часто для большего доверия со стороны пользователей мошенники сначала брутфорсят данные для входа других участников обсуждений и из полученных аккаунтов ищут пользователей с хорошим рейтингом на форуме, чтобы публиковать посты от его лица. Большую прибыль дают логи, полученные с форумов про майнинг: если пользователь скачивает софт для майнинга, то, как правило, он имеет криптовалютный кошелек.

Социальные сети

Мошенник может находить посты, например, с розыгрышами, копировать аккаунт администратора группы, в которой этот розыгрыш проводился, и потом писать участникам, что они выиграли и надо только заполнить анкету в специальном приложении. После этого злоумышленник скидывает им файл или ссылку на это “приложение”. Также мошенник может распространять стиллер с помощью постов-приманок, например, с описанием схемы заработка. Этот способ использовался ранее (судя по мануалам), но сейчас уже не актуален.

NFT

Распространение с помощью NFT приносит много прибыли, так как большинство жертв авторизованы через компьютер в своем криптокошельке. На сайтах по продаже NFT мошенник выбирает художника и с помощью открытых источников проверяет содержимое его кошелька и, если он пустой, ищет нового автора-жертву. Далее, используя ник, находит этого художника в социальных сетях, пишет ему и в процессе диалога присылает ссылку на скачивание файла. Она может быть подана, например, как подборка работ или список документов.

К практике!

Казалось бы, занудная и бесполезная тема... но, исходя из опыта, как минимум половина не представляет всей картины. Так что поразмышляем наглядно.

Итак, представим в виде схемы:

• Трафик + малварь = материал = монетизация

Коротко говоря, мы имеем трафик, который в конечном итоге приводит к тому, что у вас будут установки вашего exe файла на компах пользователей (Install’ы). С компа пользователя вы можете получить полезный материал, который превращаете в деньги.

Этапы:

1. Трафик состоит из собственно трафика и метода превращения трафика в инсталлы. В нашем случае это банальная скачка и установка файла с сайта. Связки ввиду их умирания рассматривать не будем.
2. Софт состоит из подбора софта и его настройки.
3. Материал для работы состоит из логов, доступа к ПК/телефону, перехвата данных.
4. Прибыль состоит из активной и пассивной

• (Канал трафика + сайт) + настроенный софт = Логи +возможный доступ к ПК/телефону + кейлоггер (по надобности) = Активный и пассивный доход.

Конверсионный сайт состоит из собственно сайта, протестированного и заточенного на максимальную конверсию и продуманную легенду/тематику. Сюда же добавим аналитику (ТДС систему). Сюда же добавим антиклоакинг. Сюда же добавим хороший крипт. Еще сюда же добавим хостинг для сайтов и возможный хостинг для вашего софта. Об этом ниже. Наша схема растёт и становится неудобоваримой визуально.

• (Канал трафика + (легенда + максимально конверсионный сайт + ТДС система + антиклоакинг + крипт файла)) + настроенный софт = Логи (+возможный доступ к ПК/телефону) + кейлоггер (по надобности) = Логи +возможный доступ к ПК/телефону + кейлоггер (по надобности) = Активный и пассивный доход.

Теперь вопрос. Много ли людей вообще об этом задумывается, как много им нужно для работы? Очень мало…

Каждый! Каждый шаг требует проработки! Каждый! Причем детальной, вдумчивой и внимательной. Если один из множителей будет равен нулю, то всё ваше умножение и будет равно нулю. Жиза, однако.

Ну и теперь добью, у кого еще остались розовые очки. Никто эту схему за вас не соберет. Так что садимся за гугл и начинаем вдумчиво изучать что и как в этом мире работает и устроено.