Инфостилеры остаются одной из самых настойчивых угроз в современном ландшафте. Они созданы для того, чтобы незаметно выкачивать ценную информацию, обычно учетные данные и финансовую информацию, включая данные о криптовалютах, с зараженных систем и отправлять ее злоумышленникам. И делают они это с большим успехом.

Исследователи ESET недавно отследили многочисленные кампании, в которых инфостилер был конечной целью. Agent Tesla, Lumma Stealer, FormBook и HoudRAT продолжают распространяться в больших количествах, но, согласно ESET Threat Report H1 2025, одна семья обогнала остальные в первой половине этого года: SnakeStealer.

Рождение угрозы

Обнаруживаемый продуктами ESET в основном как MSIL/Spy.Agent.AES, SnakeStealer впервые появился в 2019 году. Ранние отчеты связывали его с вредоносной программой, изначально продававшейся как 404 Keylogger или 404 Crypter на подпольных форумах, прежде чем она сменила название на текущее.

snake-stealer-infostealer-robo-contrasenas
Рисунок 1. Одна из первых реклам 404 Keylogger (источник: habr.com)

В своих ранних вариантах SnakeStealer использовал Discord для размещения своих вредоносных файлов, которые жертвы неосознанно скачивали после открытия вредоносного вложения электронной почты. Хотя размещение вредоносного ПО на законных облачных платформах не было чем-то новым, широкое злоупотребление Discord вскоре стало отличительной тактикой. SnakeStealer достиг своей первой большой волны активности в 2020 и 2021 годах, распространяясь по всему миру без явной региональной направленности.

Тем временем методы доставки варьировались. Фишинговые вложения по-прежнему остаются основным вектором, но сам вредоносный файл может быть замаскирован в различных формах, включая ZIP-архивы, защищенные паролем, вредоносные файлы RTF, ISO и PDF-файлы, или даже быть упакованным с другим вредоносным ПО. Иногда SnakeStealer скрывается в пиратском программном обеспечении или поддельных приложениях, что говорит о том, что не каждая компрометация начинается с вредоносного письма.

snake-stealer-infostealer-robo-contrasenas2
Рисунок 2. Хэши, связанные с SnakeStealer, по годам. (источник: MalwareBazaar)

Malware-as-a-service: прибыльная «бизнес-модель»

Как и многие другие современные угрозы, SnakeStealer следует модели malware-as-a-service (MaaS). Его операторы сдают в аренду или продают доступ к вредоносному ПО, включая техническую поддержку и обновления, что позволяет даже низкоквалифицированным злоумышленникам запускать собственные кампании.

Недавнее возрождение SnakeStealer не случайно. После того как Agent Tesla начал снижаться и терять поддержку разработчиков, подпольные Telegram-каналы начали рекомендовать SnakeStealer как его преемника. Эта рекомендация, в сочетании с удобством его MaaS-настройки и готовой инфраструктурой, вывела SnakeStealer на вершину списков обнаружения, настолько, что SnakeStealer недавно отвечал почти за одну пятую часть мировых обнаружений инфостилеров, отслеживаемых телеметрией ESET.

Рисунок 3. SnakeStealer возглавляет списки обнаружения
Рисунок 3. SnakeStealer возглавляет списки обнаружения (источник: ESET Threat Report H1 2025)

Ключевые особенности

SnakeStealer, возможно, и не предлагает чего-то совершенно нового, но он отполирован, надежен и прост в развертывании. Он предлагает полный набор возможностей, типичный для профессионального вредоносного ПО для кражи информации, а благодаря своей модульности злоумышленники могут включать или отключать функции по мере необходимости.

  • Уклонение: Чтобы оставаться незамеченным, SnakeStealer может завершать процессы, связанные с инструментами безопасности и анализа вредоносного ПО, и проверять наличие виртуальных сред.
  • Стойкость: Он изменяет конфигурации загрузки Windows, чтобы поддерживать доступ к скомпрометированным системам.
  • Кража учетных данных: Извлекает сохраненные пароли из веб-браузеров, баз данных, почтовых и чат-клиентов, включая Discord, а также из сетей Wi-Fi.
  • Наблюдение: Захватывает данные буфера обмена, делает снимки экрана и записывает нажатия клавиш.
  • Эксфильтрация: Отправляет украденные данные через FTP, HTTP, электронную почту или Telegram-боты.

Как защитить себя

Независимо от того, являетесь ли вы индивидуальным пользователем или компанией, эти шаги помогут снизить риск заражения инфостилерами, такими как SnakeStealer:

  • Будьте скептичны к нежелательным сообщениям. Относитесь к вложениям и ссылкам, особенно от неизвестных отправителей, как к потенциальным угрозам, даже если они кажутся легитимными. Проверяйте их у отправителя другими способами.
  • Поддерживайте свои системы и приложения в актуальном состоянии. Своевременное исправление известных уязвимостей снижает риск компрометации из-за программных лазеек.
  • Включите многофакторную аутентификацию (MFA) везде, где это возможно. Даже если ваш пароль украден, MFA может остановить несанкционированные входы.
  • Если вы подозреваете компрометацию: смените все пароли с чистого устройства, отзовите открытые сессии и следите за подозрительной активностью в своих учетных записях.
  • Используйте надежное программное обеспечение для обеспечения безопасности на всех устройствах, как настольных, так и мобильных.

Заключительные мысли

Рост SnakeStealer — это напоминание о том, как быстро адаптируется рынок киберпреступности, и отражает более широкую правду о современном ландшафте угроз: киберпреступность стала индустрией. Эта профессионализация делает как никогда простым для любого желающего красть данные в больших масштабах. И как только один инфостилер уходит, другой занимает его место, вооруженный в значительной степени той же проверенной тактикой. Хорошая новость в том, что надежные практики кибербезопасности помогут вам оставаться в безопасности.

Читать полный анализ на WeLiveSecurity →