Русскоязычные хакеры атакуют иностранных пользователей Steam, Roblox, Amazon и PayPal

Всего было выявлено 34 киберпреступные группы, распространяющих стилеры. Русскоговорящие злоумышленники использовали их для кражи паролей игровых аккаунтов в Steam и Roblox, "учеток" от торговой площадки Amazon и платежной системы PayPal, а также данных банковских карт и криптокошельков.

Общей чертой групп является координация через телеграм-ботов на русском языке, однако атакуют они преимущественно иностранных пользователей из США, Бразилии и Индии.

Стилеры умеют собирать с зараженного компьютера логины-пароли из учетных записей в браузерах, в том числе от почтовых сервисов или соцсетей, данные банковских карт, а также информацию о крипто-кошельках, а затем "передавать" все это своему оператору через бота в телеграме.

После успешной атаки злоумышленники, как правило, идут двумя путями: либо сами "снимают" деньги, благодаря украденным данным, либо продают похищенную ими информацию на теневых формах.

Ссылку на скачивание стилеров злоумышленники чаще всего "зашивают" в видеообзоры популярных игр на YouTube, "софт" для майнига или NTF-файлы на специализированных форумах, розыгрыши и лотереи в соцсетях.

По оценкам специалистов Group-IB, в 2022 году стилеры являются одной из самых серьезных угроз в сфере кибербезопасности. За 10 месяцев 2021 (с момента начала исследования 1 марта по 31 декабря) года пользователи более 538 000 раз скачали стилеры на свои компьютеры. В этом году ситуация ухудшилась. За первые 7 месяцев 2022 года (с 1 января до 1 августа) пользователи загрузили вирусные файлы более 890 000 раз.

В 2021 году cреди наиболее часто атакуемых сервисов фигурировали PayPal - более 25% и Amazon - более 18%. В 2022 году все также лидируют PayPal (более 16%) и Amazon (более 13%). Однако за год почти в 5 раз увеличились случаи получения в логах паролей от игровых сервисов (Steam, EpicGames, Roblox).

Топ-3 наиболее атакуемых стран в 2022 году занимали США, Бразилия и Индия. Россия постепенно выбывает из списка приоритетов жуликов: если в 2021 года Россия занимала 15 место по числу пользователей, чьи пароли были украдены с помощью стилеров, то по итогам семи месяцев этого года РФ расположилась на 95-м месте.

"Популярности схемы с распространением стилеров способствует низкий порог входа: новичку не требуется технических знаний, поскольку процесс полностью автоматизирован через бота, а задача воркера сводится к тому, чтобы создать в телеграм-боте файл со стилером и "нагнать" на него трафик. Но для жертвы, чей компьютер заражен стилером, последствия могут быть очень серьезными", - пояснил Евгений Егоров, ведущий аналитик  Group-IB Digital Risk Protection.

За первые 7 месяцев 2022 года ими украдено 896 148 логов, 50 352 518 паролей, 2 117 626 523 куки-файла, данные от 103 150 карты, данные от 113 204 криптокошельков. Реализовав на теневом рынке только логи и данные карт, злоумышленники, по оценкам экспертов Group-IB, могли заработать около 350 млн рублей или $5,8 млн.