Вы уверены, что за вами не следят? Исследователи изучили вредоносную программу Stealerium

Stealerium впервые появилась на GitHub в 2022 году как программа-похититель (или стилер) с открытым исходным кодом (open-source) в свободном доступе. Оригинальный репозиторий в конце концов был удален с платформы — и впоследствии программу загрузил заново анонимный пользователь под ником «Искатель ведьм» — себя он описал как «аналитика вредоносного программного обеспечения».

«Это приложение предназначено исключительно для образовательных целей. Вы несете ответственность за то, как используете эту программу. Я не несу ответственности за любые незаконные действия. Мне также [по барабану], как вы ее используете», — предостерегает пользователь в описании Stealerium, которое загрузил на GitHub.

В Proofpoint отмечают, что с недавних пор Stealerium стал любимым инструментом определенных злоумышленников. Способ распространения вредоносной программы — фишинг-кампании путем электронной почты. С мая по август 2025 года исследователи зафиксировали от нескольких сотен до десятков тысяч писем на одну кампанию от двух хакерских групп. «Мейлы» направляли как на отдельных лиц, так и на организации.

Чтобы побудить получателей загрузить содержимое, в письмах указываются повседневные темы — поддельные судебные повестки, свадебные приглашения, выставление счетов, запросы благотворительных фондов и тому подобное. В комплекте к письмам — вредоносные файлы в виде сжатых архивов, скриптов или образов дисков (ISO, IMG, VBS, JS, ACE). После их загрузки вредоносная программа запускается и начинает собирать информацию.

Что и как похищает Stealerium

Программа-угонщик Stealerium написана на .NET. По данным Proofpoint, она умеет извлекать самые разные данные, пытаясь захватить как можно больше. В частности:

• данные банковских карт, взятые из веб-форм;
• данные криптокошелька;
• данные электронной почты и чатов (Outlook, Signal, Discord и т. д.);
• системные данные — установленные программы, ключи продуктов Windows;
• данные браузера — cookie, кэш и сохраненные данные аккаунта;
• данные VPN-сервисов (NordVPN, OpenVPN, ProtonVPN и т. д.);
• токены сессии с игровых сервисов (таких как Steam, Minecraft, BattleNet и Uplay);
• пароли сети Wi-Fi и тому подобное.

Да и вообще любые файлы, которые могут представлять интерес для хакера — различные типы изображений, исходный код, базы данных или документы — уязвимы к похищению. Исследователи предполагают, что собственно Stealerium не делает разницы между типами данных, которые ворует. А вот злоумышленники могут «натравливать» программу на определенные файлы.

«Инфокрады, как правило, ищут все, что могут похитить», — объясняет изданию Wired Селена Ларсон, одна из исследовательниц Proofpoint, которая работала над анализом Stealerium. «Это добавляет еще один уровень вторжения в приватность и конфиденциальную информацию, которую вы точно не хотели бы видеть в руках определенного хакера».

Дальше — хуже. Как задокументировал Proofpoint, угонщик Stealerium также отслеживает заголовки открытых вкладок в браузере. И когда обнаруживает ключевые слова, такие как «порно» или «секс», то умеет одновременно делать скриншот рабочего стола и активировать веб-камеру для съемки пользователя. Готовые фотографии отправляются хакеру, который получает возможность шантажировать ими жертву.

«Это отвратительно. Я ненавижу это», — добавляет Селена Ларсон.

Как обнаружить Stealerium

Stealerium популярна среди преступников еще и потому, что искусно уклоняется от обнаружения. Прежде чем выполнять свою вредоносную деятельность, программа проводит антианализ на устройстве потенциальной жертвы. Она вводит задержки, чтобы усложнить автоматическое обнаружение, и проверяет такие детали, как IP-адрес, графический процессор, информация о пользователе и тому подобное. Если среда напоминает «песочницу» киберзащитника, Stealerium может «самоуничтожиться» с удалением файлов.

Конфигурация программы зашифрована с помощью AES (Расширенный стандарт шифрования), и она может динамически загружать списки блокировки с GitHub, чтобы помочь себе обойти защиту. В некоторых случаях — даже запускает Google Chrome в режиме удаленной отладки, чтобы обойти определенные ограничения.

Вместо того, чтобы полагаться на один сервер командного управления, Stealerium поддерживает несколько каналов: Telegram, Discord, Zulip, GoFile и тому подобное. Это позволяет злоумышленникам перемещать похищенную информацию между платформами, где она сливается с обычным трафиком пользователей, объясняют в Proofpoint.

Кроме того, поскольку Stealerium имеет открытый исходный код, на его основе создаются и другие программы-похитители, такие как Phantom Stealer или Warp Stealer — их коды существенно совпадают со Stealerium. Такое разнообразие вредоносного ПО распыляет внимание киберзащитников. А многие образцы похитителей, проанализированных Proofpoint, в своем коде имеют ссылки как на Stealerium, так и на Phantom Stealer.

Для выявления Stealerium и похитителей на его основе исследователи советуют учитывать прежде всего подозрительное поведение программ на ПК. Необычное использование PowerShell, особенно команд, регулирующих отключение Windows Defender, может указывать на заражение. То же самое относится к выполнению команды «netsh wlan» для перечня сетей Wi-Fi. Самовольный «Безголовый Chrome» — то есть запуск браузера в режиме без графического интерфейса — является еще одним тревожным звонком. Большие объемы исходных данных, отправляемых на такие платформы, как Discord, Telegram или GoFile также должны вызывать подозрение — особенно в организациях, которые обычно не пользуются этими услугами.

Как будет развиваться Stealerium

По словам экспертов Proofpoint, Stealerium хоть и напоминает другое вредоносное ПО по сути, но вторгается в личную жизнь значительно глубже, воруя данные и шпионя через вебкамеру. Это пример того, как преступники могут превратить проекты с открытым кодом в кибероружие. То, что начиналось как учебная программа, теперь используется для атак на людей и компании по всему миру.

Сексуальный шантаж с помощью якобы записей с вебкамеры — привычная тактика преступников. Обычно такие угрозы являются блефом, хотя иногда для убедительности мошенники присылали фото домов жертв из Google Maps. Но Stealerium отличается: эта программа действительно делает фото с вебкамеры пользователя. «Такого раньше практически не было», — отметил исследователь Proofpoint Кайл Куччи в комментарии Wired.

Отчет Proofpoint подытоживает: специалистам по безопасности пора менять подходы. Уже недостаточно просто блокировать вредоносные файлы — нужно также отслеживать любую странную активность системы, которая может указывать на работу программы-угонщика. Поскольку код Stealerium является публичным, его новые версии, вероятно, будут появляться и в дальнейшем. Proofpoint предупреждает: эта угроза никуда не исчезнет, ведь преступники учатся использовать ее не только для кражи данных, но и для давления на человеческие слабости.