Фейковая игра – реальный шпион: как Myth Stealer делает из геймеров доноров данных
NewsMakerБесплатная бета обернулась сливом личных данных в тёмный сегмент сети.
ИБ-специалисты компании Trellix выявили ранее неизвестное вредоносное ПО на языке Rust под названием Myth Stealer, распространяемый через поддельные сайты с игровым контентом. Программа маскируется под легальное приложение, открывая фальшивое окно установки, в то время как в фоне расшифровывает и запускает вредоносный компонент, собирающий конфиденциальные данные пользователя.
Изначально, в декабре 2024 года, Myth Stealer предлагался бесплатно в Telegram-канале в рамках бета-тестирования, но позже перешёл на модель «вредоносного ПО как услуги» ( MaaS ). Вредоносная программа умеет извлекать пароли, куки и данные автозаполнения из браузеров на движках Chromium и Gecko, включая Google Chrome, Microsoft Edge, Brave, Opera, Vivaldi и Mozilla Firefox.
Операторы Myth Stealer активно рекламировали свои услуги через Telegram-каналы, где также публиковались отзывы и продавались взломанные аккаунты. Эти каналы были впоследствии заблокированы. Распространение вредоноса ведётся через сайты с фейковыми видеоиграми, включая страницу на платформе Blogger от Google, где якобы предлагались бета-версии игр для тестирования. Аналогичная схема ранее применялась для распространения другого вредоносного ПО — AgeoStealer, о котором сообщалось в апреле 2025 года в отчёте Flashpoint.
Кроме того, Myth Stealer замечен в сборке, выдаваемой за взломанную версию софта для читов к игре DDrace, доступную на одном из форумов. Независимо от канала доставки, жертве показывается фиктивное окно установки, а в фоне запускается компонент для кражи данных.
Злоумышленники внедрили вредоносный код в 64-битную DLL-библиотеку, которая завершает процессы браузеров, чтобы облегчить кражу информации. Похищенные данные затем отправляются на удалённый сервер или через веб-хуки в Discord. Для повышения устойчивости к анализу вредонос включает методы обфускации строк, а также проверку среды по имени пользователя и файловой системе. Авторы регулярно обновляют функциональность, добавляя, например, захват экрана и перехват содержимого буфера обмена.
Myth Stealer — не единственный пример использования игровых читов как средства доставки вредоносов. Буквально вчера мы писали о вредоносе под названием Blitz, распространяемом через модифицированные читы и взломанные установщики легитимных программ.
Одновременно компания CYFIRMA выявила на GitHub новый RAT-вредонос на C# под названием DuplexSpy, появившийся в апреле 2025 года. Он заявлен как инструмент для «этической демонстрации и обучения», но обладает широким набором функций для скрытого наблюдения и управления системой.
Вредонос обеспечивает постоянное присутствие в системе путём копирования себя в автозагрузку и изменения реестра Windows, используя бесфайловую технику запуска и методы повышения привилегий. В его функциональность входят кейлоггер, захват экрана, слежка через веб-камеру и микрофон, удалённая командная оболочка и антианализ.
Дополнительно DuplexSpy может воспроизводить звуки на заражённой машине, а также выполнять команды на уровне операционной системы — перезагрузка, выключение, выход из аккаунта и переход в спящий режим. Вредонос накладывает на экран жертвы полноэкранное изображение, имитируя заморозку системы или сообщение о выкупе, блокируя пользовательский ввод.
На этом фоне специалисты Positive Technologies сообщают , что множество группировок — TA558, Blind Eagle, Aggah, PhaseShifters, а также PhantomControl — применяют сервис шифрования Crypters And Tools. Он используется для сокрытия вредоносных компонентов вроде Ande Loader и распространяется через платформу «nitrosoftwares[.]com», предлагающую широкий спектр инструментов: от эксплойтов и шифраторов до логгеров и криптоклипперов.
Целями таких атак становятся США, страны Восточной Европы, включая Россию, а также Латинская Америка.
ИБ-специалисты компании Trellix выявили ранее неизвестное вредоносное ПО на языке Rust под названием Myth Stealer, распространяемый через поддельные сайты с игровым контентом. Программа маскируется под легальное приложение, открывая фальшивое окно установки, в то время как в фоне расшифровывает и запускает вредоносный компонент, собирающий конфиденциальные данные пользователя.
Изначально, в декабре 2024 года, Myth Stealer предлагался бесплатно в Telegram-канале в рамках бета-тестирования, но позже перешёл на модель «вредоносного ПО как услуги» ( MaaS ). Вредоносная программа умеет извлекать пароли, куки и данные автозаполнения из браузеров на движках Chromium и Gecko, включая Google Chrome, Microsoft Edge, Brave, Opera, Vivaldi и Mozilla Firefox.
Операторы Myth Stealer активно рекламировали свои услуги через Telegram-каналы, где также публиковались отзывы и продавались взломанные аккаунты. Эти каналы были впоследствии заблокированы. Распространение вредоноса ведётся через сайты с фейковыми видеоиграми, включая страницу на платформе Blogger от Google, где якобы предлагались бета-версии игр для тестирования. Аналогичная схема ранее применялась для распространения другого вредоносного ПО — AgeoStealer, о котором сообщалось в апреле 2025 года в отчёте Flashpoint.
Кроме того, Myth Stealer замечен в сборке, выдаваемой за взломанную версию софта для читов к игре DDrace, доступную на одном из форумов. Независимо от канала доставки, жертве показывается фиктивное окно установки, а в фоне запускается компонент для кражи данных.
Злоумышленники внедрили вредоносный код в 64-битную DLL-библиотеку, которая завершает процессы браузеров, чтобы облегчить кражу информации. Похищенные данные затем отправляются на удалённый сервер или через веб-хуки в Discord. Для повышения устойчивости к анализу вредонос включает методы обфускации строк, а также проверку среды по имени пользователя и файловой системе. Авторы регулярно обновляют функциональность, добавляя, например, захват экрана и перехват содержимого буфера обмена.
Myth Stealer — не единственный пример использования игровых читов как средства доставки вредоносов. Буквально вчера мы писали о вредоносе под названием Blitz, распространяемом через модифицированные читы и взломанные установщики легитимных программ.
Одновременно компания CYFIRMA выявила на GitHub новый RAT-вредонос на C# под названием DuplexSpy, появившийся в апреле 2025 года. Он заявлен как инструмент для «этической демонстрации и обучения», но обладает широким набором функций для скрытого наблюдения и управления системой.
Вредонос обеспечивает постоянное присутствие в системе путём копирования себя в автозагрузку и изменения реестра Windows, используя бесфайловую технику запуска и методы повышения привилегий. В его функциональность входят кейлоггер, захват экрана, слежка через веб-камеру и микрофон, удалённая командная оболочка и антианализ.
Дополнительно DuplexSpy может воспроизводить звуки на заражённой машине, а также выполнять команды на уровне операционной системы — перезагрузка, выключение, выход из аккаунта и переход в спящий режим. Вредонос накладывает на экран жертвы полноэкранное изображение, имитируя заморозку системы или сообщение о выкупе, блокируя пользовательский ввод.
На этом фоне специалисты Positive Technologies сообщают , что множество группировок — TA558, Blind Eagle, Aggah, PhaseShifters, а также PhantomControl — применяют сервис шифрования Crypters And Tools. Он используется для сокрытия вредоносных компонентов вроде Ande Loader и распространяется через платформу «nitrosoftwares[.]com», предлагающую широкий спектр инструментов: от эксплойтов и шифраторов до логгеров и криптоклипперов.
Целями таких атак становятся США, страны Восточной Европы, включая Россию, а также Латинская Америка.