Исследователи сообщили о новом стилере MicroStealer, который крадёт пароли из браузеров, активные сессии, скриншоты и сведения о системе. По данным ANY.RUN, вредоносная программа уже нацелена на образовательный и телеком-сектор, но её методы опасны и для обычных пользователей.

Главная проблема не в редкой «суператаке», а в привычных ошибках: установка сомнительных приложений, переходы по рекламе, старые пароли и доверие к файлам из чатов. Именно на этом строится большинство заражений, о которых говорится в свежем бюллетене ThreatsDay.

Что известно о MicroStealer

MicroStealer впервые заметили в реальных атаках в декабре 2025 года. ANY.RUN описывает его как стилер, который специализируется на краже браузерных паролей, активных сессий, скриншотов, криптокошельков и системной информации.

Стилер — это вредоносная программа, созданная для кражи данных с устройства. В отличие от шифровальщика, она может не ломать работу компьютера и не показывать жертве выкупное окно. Пользователь продолжает работать, а его учётные записи уже уходят злоумышленникам.

По словам исследователей, MicroStealer распространяется через многоступенчатую цепочку и пока проходит часть защитных проверок с низким уровнем обнаружения. Украденные сведения отправляют через Discord webhooks и серверы атакующих. Webhook в таком случае служит техническим каналом доставки, а не признаком взлома самого сервиса.

Почему пароли в браузере остаются слабым местом

Браузерный менеджер паролей удобен: он подставляет логины, синхронизирует учётные записи и экономит время. Но если компьютер уже заражён, вредоносная программа часто ищет именно эти хранилища, файлы cookie и токены сессий.

Опаснее всего кража активной сессии. Злоумышленнику не всегда нужен пароль: если он получил рабочий токен, сервис может распознать его как уже вошедшего пользователя. Поэтому смена пароля после заражения важна, но одной смены мало — нужно завершить все сессии в настройках аккаунта.

В бюллетене также отдельно упоминается проблема паролей, которые браузеры держат в памяти ради скорости работы. Для обычного пользователя вывод простой: браузер не должен быть единственным рубежом защиты. У каждой важной учётной записи должен быть уникальный пароль и двухфакторная аутентификация (2FA), где это доступно.

Где прячут приманку: фальшивые приложения и чаты

Авторы бюллетеня перечисляют старые, но всё ещё рабочие каналы заражения: сомнительные пакеты, поддельные приложения, забытые DNS-записи, мошенническая реклама и слитые логины. На практике это выглядит буднично: пользователь ищет программу, видит «удобную» ссылку в рекламе или чате, скачивает установщик и запускает его без проверки.

Отдельный риск связан с поиском веб-версий популярных сервисов. Запросы вроде «discord browser», «discord web» или «discord online в браузере» могут привести не только к справке и официальным страницам, но и к рекламным копиям, фальшивым инструкциям и вредным загрузкам. Чем популярнее сервис, тем охотнее мошенники маскируют под него свои страницы.

Схожую механику мы уже разбирали на примере атак, где фальшивая CAPTCHA заражает компьютеры стилером Vidar. Там жертву тоже не «взламывали» в лоб: её убеждали выполнить действие, которое запускало вредоносный сценарий.

Цепочки поставок касаются не только разработчиков

В том же обзоре отмечен релиз pnpm 11 — менеджера пакетов для JavaScript. В новой версии по умолчанию добавили задержку в 24 часа перед установкой только что опубликованных версий пакетов. Идея проста: многие атаки на цепочку поставок рассчитывают на автоматическую установку свежего вредного пакета сразу после публикации.

Для людей вне разработки это может звучать далёко. Но последствия таких атак быстро доходят до обычных пользователей: вредный пакет попадает в приложение, расширение или внутренний сервис компании, а затем начинает собирать токены, ключи и личные данные.

Похожий урок даёт история с утечкой ключей API и переписок через уязвимость Ollama. Ключи, токены и сессии давно стали такой же ценной добычей, как банковские реквизиты: они открывают доступ к почте, облакам, рабочим панелям и переписке.

Приватность тоже попала в повестку недели

Бюллетень затрагивает не только вредоносные программы. Федеральная торговая комиссия США и брокер геоданных Kochava договорились об ограничениях на продажу чувствительных сведений о местоположении без явного согласия пользователей. По материалам дела, речь шла о мобильных идентификаторах, использовании приложений, доходах и почти точной геолокации с точностью до 10 метров.

Это важное напоминание: утечка не всегда начинается с вируса. Иногда риск создаёт обычное приложение, которое собирает больше сведений, чем нужно, или передаёт их дальше по рекламной цепочке. Перед установкой стоит смотреть не только на рейтинг, но и на разрешения: доступ к геолокации, контактам, микрофону и файлам должен быть понятен по смыслу приложения.

Отдельно Proton сообщил о поддержке постквантового шифрования в Proton Mail как дополнительной функции. Для массового пользователя это пока не срочная настройка на каждый день, но тренд заметен: сервисы заранее готовятся к моменту, когда старые криптографические подходы станут слабее.

Практический вывод: что сделать сейчас

  • Проверьте важные аккаунты: почта, банк, Госуслуги, облако, мессенджеры. У каждого должен быть отдельный пароль.
  • Включите двухфакторную аутентификацию (2FA) там, где она доступна. Лучше использовать приложение для кодов или аппаратный ключ, если сервис это поддерживает.
  • После подозрительного заражения не ограничивайтесь сменой пароля. Завершите все активные сессии в настройках аккаунта.
  • Не ставьте приложения из рекламных ссылок, файлов в чатах и «сборников полезных программ». Загружайте ПО с официальных страниц разработчиков или из доверенных магазинов.
  • Проверьте расширения браузера и удалите те, которыми не пользуетесь. Особенно опасны расширения с доступом ко всем сайтам.
  • Обновите браузер, операционную систему и защитное ПО. Стилеры часто используют старые уязвимости и невнимательность пользователя.
  • В публичных сетях, например в кафе или аэропорту, используйте сервис безопасного интернет-соединения, чтобы снизить риск перехвата данных и защитить приватность.
  • Если браузер сам подставляет пароль на незнакомой странице, остановитесь и проверьте адрес сайта. Поддельная форма входа часто отличается одной буквой или лишним словом в домене.
Поделиться: