Три главных врага ваших сбережений. Почему после ликвидации Lumma Stealer в сети стало только опаснее
NewsMakerПрежние советы по защите данных оказались бесполезны против хищников новой волны.
После ликвидации инфраструктуры Lumma Stealer в 2025 году рынок вредоносных программ для кражи данных начал быстро меняться. Освободившееся пространство заняли новые и уже известные инструменты, а среди авторов вредоносного ПО усилилась борьба за контроль над распространением инфостилеров. На фоне этих изменений специалисты обратили внимание на относительно новый проект под названием AuraStealer, который уже участвует в нескольких атаках.
AuraStealer впервые появился на хакерских форумах в июле 2025 года. Вредоносная программа быстро начала распространяться в подпольной среде и пытается занять место среди популярных инструментов для кражи данных. AuraStealer конкурирует с такими семействами, как Rhadamanthys и Vidar , которые после закрытия Lumma усилили позиции на теневом рынке.
Отчёт компании Intrinsec описывает архитектуру вредоносного ПО и инфраструктуру управления. Команда выявила 48 доменных имён серверов управления, через которые операторы получают украденную информацию и управляют заражёнными системами. Анализ сетевой инфраструктуры показал заметную смену используемых доменных зон. Первые кампании применяли домены с окончанием .shop, однако позднее операторы начали активно регистрировать адреса в зоне .cfd. Подобная миграция помогает скрывать инфраструктуру и усложняет блокировку.
Авторы исследования также описали метод отслеживания управляющих серверов через сетевые поисковые системы. Подобный подход позволяет находить новые домены инфраструктуры, даже когда операторы регулярно меняют адреса.
После ликвидации инфраструктуры Lumma Stealer в 2025 году рынок вредоносных программ для кражи данных начал быстро меняться. Освободившееся пространство заняли новые и уже известные инструменты, а среди авторов вредоносного ПО усилилась борьба за контроль над распространением инфостилеров. На фоне этих изменений специалисты обратили внимание на относительно новый проект под названием AuraStealer, который уже участвует в нескольких атаках.
AuraStealer впервые появился на хакерских форумах в июле 2025 года. Вредоносная программа быстро начала распространяться в подпольной среде и пытается занять место среди популярных инструментов для кражи данных. AuraStealer конкурирует с такими семействами, как Rhadamanthys и Vidar , которые после закрытия Lumma усилили позиции на теневом рынке.
Отчёт компании Intrinsec описывает архитектуру вредоносного ПО и инфраструктуру управления. Команда выявила 48 доменных имён серверов управления, через которые операторы получают украденную информацию и управляют заражёнными системами. Анализ сетевой инфраструктуры показал заметную смену используемых доменных зон. Первые кампании применяли домены с окончанием .shop, однако позднее операторы начали активно регистрировать адреса в зоне .cfd. Подобная миграция помогает скрывать инфраструктуру и усложняет блокировку.
Авторы исследования также описали метод отслеживания управляющих серверов через сетевые поисковые системы. Подобный подход позволяет находить новые домены инфраструктуры, даже когда операторы регулярно меняют адреса.