20/08/25
Аналитики описывают так называемую «экосистему Stealer», где ключевыми звеньями выступают разработчики вредоносов, администраторы «трафик-команд» и исполнители, отвечающие за массовое заражение пользователей.
Трафик-команды функционируют как организованные преступные объединения: они распространяют вредоносное ПО, продают логи с украденными данными в даркнете и получают прибыль от этой деятельности. Подбор новых участников активно идёт на форумах Lolz Guru, Exploit, BHF и особенно XSS, где с 2018 года опубликовано более 8,7 тысячи постов о трафферах. Для автоматизации набора используются Telegram-боты: кандидаты проходят «тестовый период», получают билд стилера и инструкции по распространению, пишет Securitylab.
Сами преступники используют широкий спектр техник. Они создают фишинговые панели (например, под видом онлайн-казино), продвигают вредоносные ссылки через YouTube, TikTok и Instagram*, маскируя их под рекламные кампании или раздачу приложений. Ключевым инструментом выступает SEO: злоумышленники манипулируют поисковой выдачей Google, Yandex и Bing, чтобы продвигать заражённые сайты. На форумах встречаются целые «SEO-команды», которые применяют «чёрные» методы оптимизации — накрутку CTR, построение сетей фейковых сайтов (link farms), обход алгоритмов Panda и Penguin.
Доходы распределяются по схемам, зафиксированным в объявлениях о наборе: чаще всего в пропорциях 79:21 или 65:35 в пользу траффера, что зависит от его опыта и уровня доверия. Иногда команды устанавливают фиксированные выплаты за количество установок вредоноса. При этом в некоторых случаях в загрузчики инфостилеров закладывают скрытые майнеры для дополнительного заработка.
Характерный пример — Dungeon Team, активно действующая на Lolz Guru. В рекламных постах группа обещает своим трафферам FUD Loader (загрузчик, незаметный для антивирусов), бесплатные SEO-услуги и криптер для маскировки стилеров. Внутри команды фиксируется доходность: при краже криптокошелька свыше $30 исполнителю достаётся 65% прибыли, остальное уходит администратору. Скриншоты переписок подтверждают, что в работе используются Stealc V2 и Rhadamanthys Stealer , а логи с украденными данными выгружаются через Telegram-бота . Более того, участники сообщают о скрытых майнерах, встроенных в загрузчики.
По данным исследования S2W, украденные логи равномерно охватывают пользователей по всему миру, за исключением стран СНГ. В числе похищенного встречаются и учётные записи корпоративных доменов, что повышает риск компрометации внутренних сетей компаний.
