Эксперты Kaspersky Digital Footprint Intelligence представили итоги исследования лог‑файлов инфостилеров — архивов, где содержатся файлы с украденными данными (учётные записи, cookie браузера, системные метаданные). По их словам, основные пути заражения устройств — установка ПО из недоверенных источников и попытка нелегитимно активировать программу.
Аналитики изучили свыше 5 млн лог-файлов за 2025 год, что позволило им оценить не только масштаб и характер заражения, но и установить, как именно вредоносное ПО попадает на устройства жертв.
По результатам исследования, большая часть путей сохранения стилеров приходится на каталоги C:Users<User>AppDataLocalTemp (35%) и C:<Windows>Microsoft.NETFramework<version> (32%). Второй путь связан с техникой внедрения в процессы (process injection), когда злоумышленники запускают произвольный код в пространстве легитимного процесса, а также с приёмом Living off the Land (LotL), при котором защита обходится встроенными инструментами системы. Такая тактика характерна для продвинутых стилеров, например Lumma.
Основными способами попадания стилеров на устройства остаются установка программ из недоверенных источников и попытки нелегитимной активации софта. Часто вредоносные файлы маскируются под установщики ПО, активаторы или игровые моды.
«В 2025 году число заражений стилерами резко выросло — на 59% по сравнению с предыдущим годом. Наш анализ показывает, что именно поведение пользователей, а не технические уязвимости, нередко становятся ключевым фактором успешности таких атак. Более чем в трети случаев стилеры запускались из временных папок для загрузок, а значит, сразу после скачивания. Это говорит о том, что во многих случаях злоумышленникам не требуются продвинутые техники — им достаточно просто убедить пользователя запустить файл», — рассказал Сергей Щербель, эксперт Kaspersky Digital Footprint Intelligence.
Специалисты также рассказали о том, как формируются названия файлов со стилерами. По их словам, имена файлов зависят не столько от семейства стилера, сколько от способа распространения и действий конкретного злоумышленника. Одинаковые по функционалу трояны могут носить совершенно разные имена в зависимости от того, как их распространяют — через торренты, сайты с пиратским софтом, фальшивые обновления или социальную инженерию.
На основе полученных данных эксперты рекомендуют пользователям соблюдать базовые правила кибергигиены: загружать программы только с официальных сайтов и цифровых магазинов, не запускать активаторы и сомнительные установщики, не отключать средства защиты по просьбе неизвестных и проверять контрольные суммы скачиваемых файлов, когда это возможно. Для компаний Kaspersky советует внедрять многоуровневую защиту конечных точек и обучать сотрудников распознаванию фишинговых и социнженерных приёмов.