Стилер

Код вредоносного вируса

Сти́лер (от англ. Steal — красть) — тип вредоносного программного обеспечения, предназначенный для кражи конфиденциальной информации пользователя, такой как логины, пароли, данные банковских карт, cookies и другие личные данные^[1].

Принцип работы

Стилер проникает в хранилища часто используемых приложений, преимущественно браузеров, и ворует всю сохранённую информацию: файлы cookie, учётные данные (логины и пароли). После сбора данных программа передаёт их злоумышленнику, обычно через электронную почту. В некоторых случаях такой вирус может иметь дополнительную функцию самоуничтожения после выполнения задачи. Это делает его особенно незаметным для пользователя, который может обнаружить кражу только тогда, когда его учётные данные перестанут работать — например, при входе в почту, социальные сети или в электронные кошельки. Многие антивирусные программы не способны эффективно противостоять таким стилерам, поскольку такие троянские программы легко могут быть зашифрованы, что затрудняет их обнаружение^[2].

Методы распространения

Стилеры могут попасть на устройство пользователя через несколько распространённых методов:

Фишинговые атаки: Злоумышленники отправляют письма, имитирующие сообщения от легитимных организаций или служб, таких как банки, социальные сети или службы поддержки. В письме может содержаться угроза (например, «Ваша учетная запись будет заблокирована!») или заманчивое предложение. При клике на вложенную ссылку или открытии прикреплённого файла стилер загружается на устройство^[3]
Поддельные обновления и сайты: Стилеры часто маскируются под обновления популярных программ или операционных систем. Злоумышленники создают фальшивые сайты, копируя дизайн известных брендов, чтобы пользователь не заподозрил ничего подозрительного. После скачивания такого «обновления» вредоносное ПО внедряется в систему.
Игровые сообщества: На игровых форумах и блогах злоумышленники распространяют ссылки на модификации игр, читы или программы для майнинга криптовалюты. Эти файлы кажутся безобидными, но на самом деле они содержат стилеры. После загрузки и установки вирус получает доступ к данным на устройстве^[3].
Социальные сети и лотереи: Через социальные платформы мошенники создают поддельные аккаунты, копирующие популярных блогеров или администраторов групп. Они предлагают пользователям «выиграть приз», требуя скачать специальное приложение или перейти по ссылке. За такими «подарками» обычно скрывается вредоносное ПО.
Заражённые USB-накопители: Несмотря на то что этот метод стал менее популярен, он все еще используется. Например, флешку с заранее установленным стилером можно оставить в общественном месте. Любопытный пользователь, решивший проверить содержимое накопителя, автоматически запускает вирус, который заражает его устройство^[3].

Steam-стилеры

SteamBurglar

Летом 2014 года пользователи игры CS:GO начали сообщать о пропаже игрового инвентаря. Исследование выявило троянца SteamBurglar, который работал следующим образом:

Злоумышленник отправлял игроку сообщение с предложением выгодного обмена предметов
Во время просмотра скриншота предложенного инвентаря троян сканировал память компьютера, находил данные о предметах пользователя и выставлял наиболее ценные (по ключевым словам rare, mythical, legendary и др.) на продажу через SteamSteam
Вырученные деньги перечислялись на счёт создателя вируса.

SteamBurglar мог красть предметы не только из CS:GO, но и из других игр, таких как Dota 2 , Team Fortress 2 и Warframe. В декабре 2014 года автор добавил функцию спама прямо из админ-панели трояна^[4].

SteamLogger.1

Осенью 2014 года появился более сложный стилер SteamLogger.1, который действовал так:

Распространялся через ссылки на читерских сайтах или предложения о дешёвых покупках/обменах инвентаря
После загрузки дроппера на компьютер расшифровывался основной модуль трояна, который:
- Подгружался в память и ждал авторизации пользователя в Steam
- Перехватывал учётные данные, проверял защитные механизмы (SteamGuard) и передавал информацию на сервер злоумышленников
- Искал ценные предметы по ключевым словам (Mythical, Legendary, Arcana и др.), снимал их с продажи (если они были выставлены) и переводил на подготовленные аккаунты
Если функция автоматического входа была отключена, запускался кейлоггер для записи паролей. Данные отправлялись на сервер каждые 15 секунд^[3].

Стилеры для кражи учётных записей

Стилеры RedLine и Racoon пользуются особой популярностью у русскоязычных киберпреступников, они собирают информацию о системе, включая:

Имя пользователя
Название компьютера
Перечень установленных программ
Технические характеристики оборудования
Сохраненные в браузерах пароли, cookies, данные банковских карт и криптовалютных кошельков.

Если пользователь входит в такие сервисы, как «ВКонтакте», «Яндекс», Mail.ru или Gmail с заражённого устройства, мошенники получают доступ к его аккаунтам без необходимости вводить пароль — достаточно загрузить файлы cookie, хранящиеся в браузере. Кроме того, сохранённые пароли могут стать ключом к доступу к различным онлайн-ресурсам, включая защищённые платформы. Украденные почтовые учётные записи часто используются для отправки спама, а данные от игровых сервисов продаются на чёрном рынке. Однако если на компьютере окажутся данные банковских карт или криптокошельков, злоумышленники могут похитить средства пользователя^[1].

В период с 2021 по 2023 год на теневых и специализированных платформах было обнаружено и опубликовано 34 миллиона пар логинов и паролей пользователей игровой онлайн-платформы Roblox. Кроме того, были скомпрометированы 688 тысяч учётных данных от аккаунтов сервисов OpenAI, занимающихся разработками в области искусственного интеллекта, около 1,2 миллиона учётных записей пользователей платформы для графического дизайна Canva, а также 839 тысяч пар логинов и паролей от сервиса Grammarly, предназначенного для проверки грамматики при написании текстов на английском языке^[5].

Примечания

↑ ^{Перейти обратно: 1,0} ^1,1 Егоров Е., Синицына М. Стилеры и где они обитают (неопр.). F.A.C.C.T. (23 ноября 2022). Дата обращения: 8 февраля 2025.
↑ Стилер - ПО для кражи паролей пользователя (неопр.). Securitylab (12 июня 2020). Дата обращения: 8 февраля 2025.
↑ ^{Перейти обратно: 3,0} ^3,1 ^3,2 ^3,3 Холмогоров В. PRO Вирусы. — СПб.: Страта, 2020. — С. 73. — 224 с. — ISBN 978-5-907314-12-2.
↑ Kochetkova, Kate. Steam stealers: your account is their target (неопр.). Kaspersky daily (15 марта 2016). Дата обращения: 8 февраля 2025.
↑ За три года злоумышленники украли более 36 миллионов пар логинов и паролей от ИИ-сервисов и игровых аккаунтов (неопр.). Kaspersky (28.02.2024). Дата обращения: 8 февраля 2025.

[:0-1] {Перейти обратно: 1,0} ^1,1 Егоров Е., Синицына М. Стилеры и где они обитают (неопр.). F.A.C.C.T. (23 ноября 2022). Дата обращения: 8 февраля 2025.

[2] Стилер - ПО для кражи паролей пользователя (неопр.). Securitylab (12 июня 2020). Дата обращения: 8 февраля 2025.

[:1-3] {Перейти обратно: 3,0} ^3,1 ^3,2 ^3,3 Холмогоров В. PRO Вирусы. — СПб.: Страта, 2020. — С. 73. — 224 с. — ISBN 978-5-907314-12-2.

[4] Kochetkova, Kate. Steam stealers: your account is their target (неопр.). Kaspersky daily (15 марта 2016). Дата обращения: 8 февраля 2025.

[5] За три года злоумышленники украли более 36 миллионов пар логинов и паролей от ИИ-сервисов и игровых аккаунтов (неопр.). Kaspersky (28.02.2024). Дата обращения: 8 февраля 2025.

[1]

[2]

[3]

[4]

[5]