Rust-вирус Myth Stealer крадёт данные через фейковые игровые сайты

Исследователи кибербезопасности обнаружили новый вредоносный софт под названием Myth Stealer, написанный на Rust. Он распространяется через фейковые сайты с играми, маскируясь под легальное ПО. Пока пользователь видит окно установки, на заднем плане запускается вредоносный код.

Сначала этот стилер предлагался бесплатно в Telegram в декабре 2024 года, но теперь перешел на модель Malware-as-a-Service. Он крадет пароли, куки и данные автозаполнения из браузеров на базе Chromium и Gecko — Chrome, Edge, Brave, Opera, Vivaldi и Firefox.

Злоумышленники активно рекламировали свои услуги в Telegram, но каналы были заблокированы. Распространение идет через поддельные сайты, включая страницу на Blogger, где предлагают «протестировать» игры. Любопытно, что тот же Blogger использовался для распространения другого стилера — AgeoStealer.

Еще один способ заражения — взломанные версии софта для читов в играх, например, DDrace. Загрузчик показывает фейковое окно установки, а параллельно расшифровывает и запускает вредоносный код.

64-битная DLL-библиотека пытается завершить процессы браузеров перед кражей данных, которые отправляются на удаленный сервер или в Discord. Myth Stealer использует обфускацию строк и проверки системы, чтобы усложнить анализ. Разработчики регулярно обновляют код, добавляя новые функции вроде захвата экрана и перехвата буфера обмена.

Blitz — еще один вредонос под видом читов

Palo Alto Networks Unit 42 обнаружили Windows-вредонос Blitz, который распространяется через взломанные читы и пиратские версии ПО. Он состоит из двух этапов:

• Загрузчик, который устанавливает бота для логинга клавиатуры, скриншотов, загрузки файлов и инъекции кода.
• XMRig-майнер и функция DoS-атак на веб-серверы.

Чит проверяет, не запущен ли он в песочнице, и загружает следующий этап только после перезагрузки. Интересно, что компоненты Blitz, включая C2-инфраструктуру, размещались на Hugging Face. Аккаунт заблокировали после уведомления.

По данным на апрель 2025 года, Blitz заразил 289 устройств в 26 странах, в основном в России, Украине, Беларуси и Казахстане. Разработчик, скрывающийся под ником sw1zzx, заявил о прекращении поддержки и даже выпустил утилиту для удаления вредоноса.

DuplexSpy RAT — новый инструмент для шпионажа

CYFIRMA обнаружила RAT на C#, который позиционируется как «учебный» проект на GitHub. На деле он обеспечивает полный контроль над системой:

• Кейлоггинг, скриншоты, запись с веб-камеры и микрофона.
• Удаленный шелл и управление питанием (выключение, перезагрузка, сон).
• Фейковый экран блокировки с возможностью вывода любого изображения.

Вредонос прописывается в автозагрузку через реестр и папку Startup, использует fileless-техники и эскалацию привилегий для скрытности.

Криптеры в аренду

Positive Technologies сообщает, что несколько группировок, включая TA558, Blind Eagle и Aggah, используют сервис Crypters And Tools для обфускации вредоносных файлов, таких как Ande Loader. Атаки направлены на США, Восточную Европу и Латинскую Америку. Сервис продается на платформе nitrosoftwares[.]com, где также предлагают эксплойты, логгеры и клипперы для криптовалют.