Исследование Kaspersky Digital Footprint Intelligence показало, что 35% заражений стилерами, то есть вредоносными программами для кражи учетных и других данных, начинаются с запуска пользователями файлов непосредственно из временных папок браузера, то есть сразу после их скачивания на устройство. Об этом CNews сообщили представители «Лаборатории Касперского».
Эксперты Kaspersky Digital Footprint Intelligence проанализировали за 2025 г. более 5 млн лог-файлов, то есть архивов, состоящих из файлов с украденными данными, в том числе учётными, файлами cookie браузера и системными метаданными. Это позволило не только оценить объем и характер заражения пользовательских устройств, но и уточнить, как именно они были заражены.
Где хранятся стилеры. Наиболее распространенное место обнаружения стилеров — временный каталог Windows — C:\Users\AppData\Local\Temp\. На его долю пришлось примерно 35% всех зафиксированных случаев. Эта папка обычно используется для хранения файлов, загруженных из интернета, до того, как пользователь явно сохранит их: значительная доля заражений происходит, когда жертва самостоятельно запускает загруженные файлы, при этом злоумышленники не прибегают к сложным методам обхода защиты.
Еще в 32% случаев зловред хранился в папке C:\Windows\Microsoft.NET\Framework\. Этот путь ассоциируется с методом внедрения в процессы (process injection), при котором произвольный код выполняется в пространстве другого, обычно легитимного процесса, и техникой Living off the Land (LotL), когда злоумышленники используют для выполнения вредоносных действий легитимные, встроенные в операционную систему инструменты, чтобы избежать обнаружения. Такое поведение обычно наблюдается у продвинутых семейств стилеров, например Lumma.
Как попадают на устройство. Основные векторы заражения устройств — установка ПО из недоверенных источников и попытка нелегитимно активировать программу. Во многих случаях жертвы следуют инструкциям злоумышленников и отключают средства защиты перед запуском вредоносных файлов. Часто вредоносные файлы маскируются под установщики легального ПО, активаторы или модификации игр.
«В 2025 г. число заражений стилерами резко выросло — на 59% по сравнению с предыдущим годом. Наш анализ показывает, что именно поведение пользователей, а не технические уязвимости, нередко становятся ключевым фактором успешности таких атак. Более чем в трети случаев стилеры запускались из временных папок для загрузок, а значит сразу после скачивания. Это говорит о том, что во многих случаях злоумышленникам не требуются продвинутые техники — им достаточно просто убедить пользователя запустить файл», — сказал Сергей Щербель, эксперт Kaspersky Digital Footprint Intelligence.
Эксперты также проанализировали логику, по которой создаются названия файлов со стилерами. В большей степени это зависит не от типа используемого стилера, а от способа распространения вредоносного ПО и действий конкретного злоумышленника.
Поделиться
