Вирусы стали умнее: они больше не ломают, а подглядывают

За последний год ситуация с вредоносным программным обеспечением в России претерпела значительные изменения. Согласно данным, предоставленным компанией Positive Technologies, наиболее распространёнными вредоносными программами стали шпионские решения, такие как FormBook, Agent Tesla и Snake Keylogger. Впервые в список наиболее активных угроз вошли новые зловреды: троян удалённого доступа DarkWatchman и модульный ботнет Prometei. Анализ основан на статистических данных, полученных в результате работы PT Sandbox в течение 2024 года и первого квартала 2025 года.

Активность Snake Keylogger продемонстрировала особенно резкий рост, увеличившись более чем в 30 раз по сравнению с показателями 2023 года. Специалисты связывают это с изменением приоритетов киберпреступников, которые всё чаще нацелены на получение доступа к конфиденциальной информации, а не на прямую финансовую выгоду. Agent Tesla также значительно укрепил свои позиции, встречаясь в три раза чаще, чем в предыдущем году. Популярность FormBook и Agent Tesla обусловлена простотой использования, широким функционалом и доступностью в даркнете, в том числе по модели “вредонос как услуга”.

Среди универсальных инструментов выделяется бэкдор Carbon, объединяющий в себе функции удалённого доступа, стилера, кейлоггера и майнера. Его активность за год увеличилась в восемь раз, что сделало его одним из самых востребованных инструментов среди злоумышленников.

При анализе поведения вредоносного ПО эксперты отметили повышенный интерес к техникам скрытого сбора информации, в частности, к перехвату аудиопотока с микрофона или динамиков. Этот подход позволяет использовать записи в атаках социальной инженерии, например, для создания голосовых дипфейков. Годом ранее техника Audio Capture не входила даже в десятку наиболее популярных.

Злоумышленники всё реже используют грубые и заметные методы закрепления в системе, предпочитая удалять журналы и временные файлы, маскировать следы своей активности и манипулировать токенами доступа. Основными целями атак чаще всего становятся государственные учреждения, промышленные предприятия и IT-компании: первые интересуют злоумышленников из-за критически важных данных, вторые – из-за уязвимости технологических процессов, третьи – как точки входа в цепочки поставок программного обеспечения. Основным каналом распространения вредоносного ПО остаётся электронная почта.

По мнению Фёдора Чунижекова, руководителя исследовательской группы Positive Technologies, в ближайшие годы вредоносное ПО сохранит свою лидирующую роль в кибератаках. Наибольшую опасность будут представлять программы-вымогатели, шпионские программы и трояны удалённого доступа, а сами атаки станут более скрытными, персонализированными и технологически продвинутыми.

Специалисты подчёркивают, что для обеспечения надёжной защиты необходим комплексный подход, сочетающий в себе технические решения и обучение персонала. Современные вредоносные программы часто маскируются под легитимные приложения, упаковываются и шифруются. Для борьбы с такими угрозами необходимы песочницы с алгоритмами машинного обучения, способные выявлять подозрительное поведение даже у “безобидных” файлов. PT Sandbox, например, обладает возможностью определять вредоносные действия и защищать от угроз нулевого дня.