Ви певні, що за вами не стежать? Дослідники викрили шкідливу програму Stealerium
IT-індустрія4 вересня 2025, 20:00
Дослідники безпекової компанії Proofpoint дійшли ще моторошнішого висновку: шкідливе програмне забезпечення на основі Stealerium стає дедалі популярнішим серед кіберзлочинців. Адже самого шкідника можна легко завантажити з GitHub.
Як Stealerium може потрапити на ваш ПК
Передплатіть NV Преміум та читайте без обмежень
Нам необхідна ваша підтримка, щоб займатися якісною журналістикою
Stealerium уперше з’явилася на GitHub у 2022 році як програма-викрадач (або стилер) з відкритим вихідним кодом (open-source) у вільному доступі. Оригінальний репозиторій зрештою був видалений з платформи — та згодом програму завантажив заново анонімний користувач під ніком «Шукач відьом» — себе він описав як «аналітика зловмисного програмного забезпечення».
«Ця програма призначена виключно для освітніх цілей. Ви несете відповідальність за те, як використовуєте цю програму. Я не несу відповідальності за будь-які незаконні дії. Мені також [по цимбалах], як ви її використовуєте», — застерігає користувач в описі Stealerium, яку завантажив на GitHub.
У Proofpoint зауважують, що віднедавна Stealerium став улюбленим інструментом певних зловмисників. Спосіб розповсюдження шкідливої програми — фішинг-кампанії шляхом електронної пошти. З травня по серпень 2025 року дослідники зафіксували від кількасот до десятків тисяч листів на одну кампанію від двох хакерських груп. «Мейли» спрямовували як на окремих осіб, так і на організації.
Щоб спонукати одержувачів завантажити вміст, у листах зазначаються повсякденні теми — підроблені судові повістки, весільні запрошення, виставлення рахунків, запити благодійних фондів тощо. У комплекті до листів — шкідливі файли у вигляді стиснутих архівів, скриптів чи образів дисків (ISO, IMG, VBS, JS, ACE). Після їх завантаження шкідлива програма запускається й починає збирати інформацію.
Що і як викрадає Stealerium
Програма-викрадач Stealerium написана на .NET. За даними Proofpoint, вона вміє витягувати найрізноманітніші дані, намагаючись захопити якомога більше. Зокрема:
- дані банківських карток, узяті з веб-форм;
- дані криптогаманця;
- дані електронної пошти й чатів (Outlook, Signal, Discord тощо);
- cистемні дані — встановлені програми, ключі продуктів Windows;
- дані браузера — cookie, кеш та збережені дані акаунта;
- дані VPN-сервісів (NordVPN, OpenVPN, ProtonVPN тощо);
- токени сесії з ігрових сервісів (таких як Steam, Minecraft, BattleNet та Uplay);
- паролі мережі Wi-Fi тощо.
Та й загалом будь-які файли, які можуть являти інтерес для хакера — різні типи зображень, вихідний код, бази даних чи документи — вразливі до викрадення. Дослідники припускають, що власне Stealerium не робить різниці між типами даних, які краде. А ось зловмисники можуть «нацьковувати» програму на певні файли.
«Інфокрадії, як правило, шукають усе, що можуть викрасти», — пояснює виданню Wired Селена Ларсон, одна з дослідниць Proofpoint, яка працювала над аналізом Stealerium. «Це додає ще один рівень вторгнення в приватність і конфіденційну інформацію, яку ви точно не хотіли б бачити в руках певного хакера».
Далі — гірше. Як задокументував Proofpoint, викрадач Stealerium також відстежує заголовки відкритих вкладок у браузері. І коли виявляє ключові слова, такі як «порно» або «секс», то вміє одночасно робити скриншот робочого столу й активувати веб-камеру для фільмування користувача. Готові світлини надсилаються хакеру, який отримує змогу шантажувати ними жертву.
«Це огидно. Я ненавиджу це», — додає Селена Ларсон.
Як виявити Stealerium
Stealerium популярна серед злочинців ще й тому, що майстерно ухиляється від виявлення. Перш ніж виконувати свою шкідливу діяльність, програма проводить антианаліз на пристрої потенційної жертви. Вона вводить затримки, щоб ускладнити автоматичне виявлення, та перевіряє такі деталі, як IP-адреса, графічний процесор, інформація про користувача тощо. Якщо середовище нагадує «пісочницю» кіберзахисника, Stealerium може «самознищитися» з видаленням файлів.
Конфігурація програми зашифрована за допомогою AES (Розширений стандарт шифрування), і вона може динамічно завантажувати списки блокування з GitHub, щоб допомогти собі обійти захист. У деяких випадках — навіть запускає Google Chrome у режимі віддаленого налагодження, щоб обійти певні обмеження.
Замість того, щоб покладатися на один сервер командного управління, Stealerium підтримує кілька каналів: Telegram, Discord, Zulip, GoFile тощо. Це дозволяє зловмисникам переміщувати викрадену інформацію між платформами, де вона зливається зі звичайним трафіком користувачів, пояснюють у Proofpoint.
Крім того, оскільки Stealerium має відкритий вихідний код, на його основі створюються й інші програми-викрадачі, як-от Phantom Stealer або Warp Stealer — їхні коди суттєво збігаються зі Stealerium. Таке розмаїття шкідливого ПЗ розпорошує увагу кіберзахисників. А чимало зразків викрадачів, проаналізованих Proofpoint, у своєму коді мають посилання як на Stealerium, так і на Phantom Stealer.
Для виявлення Stealerium та викрадачів на його основі дослідники радять зважати передусім на підозрілу поведінку програм на ПК. Незвичне використання PowerShell, особливо команд, що регулюють вимкнення Windows Defender, може вказувати на зараження. Те саме стосується виконання команди «netsh wlan» для переліку мереж Wi-Fi. Самовільний «Безголовий Chrome» — тобто запуск браузера в режимі без графічного інтерфейсу — є ще одним тривожним дзвінком. Великі обсяги вихідних даних, що надсилаються на такі платформи, як Discord, Telegram або GoFile також повинні викликати підозру — особливо в організаціях, які зазвичай не користуються цими послугами.
Як розвиватиметься Stealerium
За словами експертів Proofpoint, Stealerium хоч і нагадує інше шкідливе ПЗ за суттю, але вторгається в особисте життя значно глибше, крадучи дані й шпигуючи через вебкамеру. Це приклад того, як злочинці можуть перетворити проєкти з відкритим кодом на кіберзброю. Те, що починалося як навчальна програма, тепер використовується для атак на людей та компанії по всьому світу.
Сексуальний шантаж за допомогою нібито записів з вебкамери — звична тактика злочинців. Зазвичай такі погрози є блефом, хоч іноді для переконливості шахраї надсилали фото будинків жертв з Google Maps. Але Stealerium вирізняється: ця програма справді робить фото з вебкамери користувача. «Такого раніше практично не було», — зазначив дослідник Proofpoint Кайл Куччі у коментарі Wired.
Звіт Proofpoint підсумовує: фахівцям з безпеки час змінювати підходи. Вже недостатньо просто блокувати шкідливі файли — треба також відстежувати будь-яку дивну активність системи, що може вказувати на роботу програми-викрадача. Оскільки код Stealerium є публічним, його нові версії, ймовірно, з’являтимуться й надалі. Proofpoint попереджає: ця загроза нікуди не зникне, адже злочинці вчаться використовувати її не лише для крадіжки даних, а й для тиску на людські слабкості.