Серед учасників загроз зловмисне програмне забезпечення-викрадач (стилер), яке збирає інформацію з цільової системи для подальшого входу до неї, стає все більш популярним і затребуваним через характер та тип інформації, на яку воно націлено.
Багато стилерів є клонами інших стилерів, які використовують вихідний код із відкритим кодом або витік вихідного коду. Судячи з активності на форумах, більше половини такого зловмисного програмного забезпечення, поміченого у незаконних спільнотах, не залишається у використанні протягом тривалого часу.
За останні кілька років зловмисники перейшли до продажу зловмисного програмного забезпечення за моделлю “як послуга”. Це дозволяє продавцям пропонувати зловмисне програмне забезпечення на основі передплати за нижчою ціною та залучати ширше коло клієнтів.
В останні кілька років дискусії про стилери неухильно зростають. Аналітики з помірною впевненістю вважають, що це може бути пов’язано зі спостережуваним успіхом викрадачів моделей підписки, таких як “Redline” і “Raccoon”, які продовжують залишатися популярними серед учасників загроз.
Успіх стилерів за моделлю підписки, як “Redline” і “Raccoon”, призвів до напливу їх імітаторів, які використовують ту саму бізнес-модель.
З початку 2022 року до кінця червня, згідно з даними аналітиків, було 62 унікальні активні теми, пов’язані зі стилерами “Blackguard”, “Mars” (вдосконалений наступник “Oski Stealer”) і “Snowflake”, у кількох кімнатах форуму високого рівня, присвячених купівлі, продажу та обміну зловмисним програмним забезпеченням на CryptBB, Exploit, Hackforums, Kickass, Raid Forums і XSS.
Станом на 27 червня 2022 року з 62 ідентифікованих тем, на 56% не спостерігалося жодної додаткової активності користувачів після 7-го дня публікації теми.
За допомогою наявних даних у 2021 році експерти виявили 264 теми, пов’язані зі зловмисниками, у кімнатах форуму, пов’язані з купівлею, продажем і поширенням шкідливого програмного забезпечення. З цих тем 42% не помітили жодної взаємодії з боку загрозливих суб’єктів після першого тижня публікації, а 56% не помітили активності після тридцятиденної позначки.
Це вказує на те, що майже половина стилерів, виставлених на продаж, не набувають популярності чи значної бази користувачів. Цілком можливо, що суб’єкти загрози вирішать, що стилери, які продаються, не варті інвестування, і тому вони зникають з ринку.
Ще одна причина, через яку викрадачі можуть зникнути з ринку, полягає в тому, що деякі форуми вимагають внесення депозитів, щоб рекламувати зловмисне програмне забезпечення.
Часто продавці, які прагнуть швидко заробити гроші, не бажають платити цей депозит, і модератори закривають тему. Приклади такої ситуації включають “Hard Stealer” і “Polo Stealer”.
Було багато випадків, коли вихідний код зловмисного стилера був відкритим кодом або став витоком. Це призводить до того, що форки та клони одного і того ж стилера продаються під різними іменами в спробі швидко заробити гроші.
Доступність вихідного коду дозволяє зловмисникам легко змінити бренд цих форків і спробувати їх перепродати. 22 червня 2022 року загрозливий актор “DildoFagins” заявив на XSS, що будь-які нібито нові стилери, написані на C#, швидше за все, є лише форками “StormKitty”.
Експерти з помірною впевненістю оцінюють, що стилери, які рекламуються як написані на C# та мають лише функцію надсилання журналів на ідентифікатор Telegram, можуть бути форками “StormKitty”. Деякі суб’єкти загроз знають про цю тенденцію та ігнорують потоки, які вважаються розгалуженнями.
Експерти помітили такі приклади ймовірних форків StormKitty, які намагалися продати зловмисники: “Apocalypse”, “Falcon” та “Xenon”.
Крім того, багато опублікованих доступних викрадачів мають високу ймовірність бути шахрайськими проектами, як-от викрадач “Rust”.
Експерти переглянули теми про стилери, які обговорювалися за останні тридцять днів на всіх форумах у колекціях Flashpoint.
На зображенні нижче представлено всі ланцюжки, пов’язані з купівлею, продажем і розповсюдженням крадіїв, у яких за останні тридцять днів спостерігали залучення акторів-загроз (публікування в ланцюжку). Найбільш активні теми були знайдені на форумах, включаючи DeepTor, Exploit, Nulled і XSS.
Зловмисне програмне забезпечення-викрадачі (стилери), які здаються більшими та більш насиченими на графіку, з більшою ймовірністю залишаться популярні у користуванні серед загрозливих акторів.