Вирусы больше не в моде. Теперь хакеры грабят пользователей с помощью программ для сисадминов
NewsMakerЗачем писать сложный код, если есть AnyDesk?
Злоумышленники всё чаще используют легальные инструменты удаленного управления вместо сложного вредоносного ПО. Такие программы позволяют получить полный контроль над компьютером жертвы. По данным Huntress, в 2025 году злоупотребление подобными инструментами стало самой распространённой угрозой и составило около 24% всех инцидентов. За год количество таких атак выросло на 277%.
В новых кампаниях злоумышленники часто связывают несколько инструментов удалённого администрирования в цепочку. Один устанавливает другой, затем третий. Такой подход усложняет обнаружение и позволяет сохранить доступ к системе даже после частичной очистки.
В декабре 2025 года специалисты зафиксировали кампанию с распространением установщиков MSI, которые устанавливали программы удалённого доступа и запускали дополнительные скрипты. Скрипты анализировали историю браузера и искали упоминания финансовых сервисов и криптовалютных площадок, включая QuickBooks и Coinbase. Целью становился поиск ценных учётных записей. При этом один из скриптов так и не передавал собранные данные, хотя в комментариях упоминалась отправка информации в Telegram.
В январе 2026 года злоумышленники начали использовать систему управления уязвимостями Action1 для установки клиента ScreenConnect через пакеты Microsoft Installer. В других случаях развёртывание происходило через Windows Script Host. В одной кампании инструмент InjectProx-hiro Remote Support устанавливал ScreenConnect и отправлял в Telegram уведомление с именем заражённого компьютера.
Злоумышленники всё чаще используют легальные инструменты удаленного управления вместо сложного вредоносного ПО. Такие программы позволяют получить полный контроль над компьютером жертвы. По данным Huntress, в 2025 году злоупотребление подобными инструментами стало самой распространённой угрозой и составило около 24% всех инцидентов. За год количество таких атак выросло на 277%.
В новых кампаниях злоумышленники часто связывают несколько инструментов удалённого администрирования в цепочку. Один устанавливает другой, затем третий. Такой подход усложняет обнаружение и позволяет сохранить доступ к системе даже после частичной очистки.
В декабре 2025 года специалисты зафиксировали кампанию с распространением установщиков MSI, которые устанавливали программы удалённого доступа и запускали дополнительные скрипты. Скрипты анализировали историю браузера и искали упоминания финансовых сервисов и криптовалютных площадок, включая QuickBooks и Coinbase. Целью становился поиск ценных учётных записей. При этом один из скриптов так и не передавал собранные данные, хотя в комментариях упоминалась отправка информации в Telegram.
В январе 2026 года злоумышленники начали использовать систему управления уязвимостями Action1 для установки клиента ScreenConnect через пакеты Microsoft Installer. В других случаях развёртывание происходило через Windows Script Host. В одной кампании инструмент InjectProx-hiro Remote Support устанавливал ScreenConnect и отправлял в Telegram уведомление с именем заражённого компьютера.