Учёные из Пермского Политеха разработали инструмент для борьбы с инфостилерами — вирусным ПО, крадущим данные с компьютера. По данным компании-разработчика антивируса Dr.Web, в 2024 году число обнаруженных угроз увеличилось на 26,20%, уникальных угроз — на 51,22%. При этом утечки конфиденциальной информации и пользовательских данных в 72% случаев затронули частных лиц, в 54% — организации.
Для борьбы с этими угрозами исследователи из Пермского Политеха разработали код для обнаружения стилеров. Код разработан на основе открытого инструмента YARA — набора правил для обнаружения стилеров. Эффективность российской разработки составила 93%.
Как сообщает издание Naked Science, стилеры используются злоумышленниками в сложных атаках для сбора информации и проникновения в системы. Самым опасным инфостилером признан Lumma Stealer, который маскируется под файлы с двойным расширением. Из-за этого методы детектирования антивирусов не всегда эффективны против стилеров из-за гибкости этого софта. В качестве альтернативы как раз и разработан код на основе YARA.
Уникальный набор правил YARA разработан спецами Пермского Политеха прежде всего для обнаружения вирусов класса Lumma Stealer. Этот метод анализирует поведение стилера и сигнатуры для высокой точности детектирования.
Однако новые правила YARA могут быть адаптированы и под другие семейства стилеров.
«Наш способ анализирует поведение вируса: какие процессы он запускает, с какими файлами взаимодействует, пытается ли использовать какие-то техники для скрытия своей работы и так далее. Такой подход позволяет понять характерное поведение стилера, даже если его код был изменён или замаскирован. Также метод учёных обращает внимание на сигнатуры — это своего рода “отпечаток пальца” вредоносной программы, то есть уникальная последовательность байтов или строк», – рассказала Дарья Тарутина, магистрант кафедры «Автоматика и телемеханика» ПНИПУ.