ПНИПУ: Набор правил YARA для обнаружения вирусов класса Lumma Stealer

Основная статья: Антивирусы

2025: Представление набора правил YARA для обнаружения вирусов класса Lumma Stealer

Разработка ученых Пермского Политеха поможет защитить компьютер от вирусов, крадущих личные данные. Об этом университет сообщил 25 июня 2025 года.

Согласно данным статистики антивируса Dr.Web, в 2024 году общее число обнаруженных угроз увеличилось на 26,20%, а число уникальных угроз (с использованием конкретного вирусного ПО) – на 51,22%. Одним из самых распространенных последствий кибератак стала утечка конфиденциальной информации и данных пользователей: 72% таких случаев затронули частных лиц, а 54% — организации. Часто при этом злоумышленники используют стилеры – один из классов вредоносного программного обеспечения, которые используются для несанкционированного доступа к паролям, банковским данным и другой личной информации. Ученые Пермского Политеха разработали и протестировали код для обнаружения этих угроз. Он показал эффективность в 93% случаев.

Одним из наиболее опасных представителей этого класса стал Lumma Stealer — вирус, который активно используется киберпреступниками. Он маскируется под файлы с двойным расширением (по типу pdf.exe), чтобы обмануть пользователей. Международный конгресс по anti-age и эстетической медицине — ENTERESTET 2026

Распространяется он через поддельные сайты по переводу файлов из одного формата в другой: из документа Microsoft Word в PDF, из видео в аудио и так далее. Происходит это так: человек загружает на сайт документ формата, например, docx, конвертирует, а в результате скачивает файл вида document.pdf.exe, где и находится вирус. После запуска такого файла (а, на самом деле, программы) Lumma начинает свою работу: внедряется в систему, скрывает следы своего присутствия и собирает личные данные.

Методы многих современных антивирусов не всегда хорошо работают против конкретных стилеров, поскольку не отличаются гибкостью. Lumma использует продвинутую технику под названием Hollowing Injection: она позволяет ему маскироваться под легитимные процессы Windows. Это делает вирус особенно трудным для обнаружения традиционными средствами защиты.

Для борьбы с такими угрозами все чаще используется открытый инструмент YARA — это не конкретная программа, а система правил (кодов), которые предназначены для обнаружения вредоносного ПО. Это скорее напоминает язык программирования. Правила работают на основе уникальных шаблонов, которые каждый специалист может разработать индивидуально под конкретные задачи.

Ученые Пермского Политеха разработали уникальный набор правил YARA для обнаружения вирусов класса Lumma Stealer. Для этого они провели детальный анализ поведения вредоносного ПО и сформулировали уникальные строки и условия, по которым система будет определять наличие заражения в файлах.

Наш способ анализирует поведение вируса: какие процессы он запускает, с какими файлами взаимодействует, пытается ли использовать какие-то техники для скрытия своей работы и так далее. Такой подход позволяет понять характерное поведение стилера, даже если его код был изменен или замаскирован. Также метод ученых обращает внимание на сигнатуры – это своего рода «отпечаток пальца» вредоносной программы, то есть уникальная последовательность байтов или строк, – сказала Дарья Тарутина, магистрант кафедры «Автоматика и телемеханика» ПНИПУ.

Сочетание этих двух методов дает высокую точность обнаружения и возможность быстро реагировать на угрозы. Кроме того, эти условия можно легко адаптировать под другие семейства стилеров.

Разработанные нами правила YARA ищут специфические строки, характерные для Lumma, внутри исполняемых файлов. Работа метода была протестирована в изолированной среде на Windows 10. Сканирование проводилось для 192 файлов, из них 94 вредоносных. Результаты показали высокую эффективность: обнаружено 93% зараженных элементов, – отметил Андрей Кокоулин, доцент кафедры «Автоматика и телемеханика» ПНИПУ, кандидат технических наук.

Инструмент может быть интегрирован в системы мониторинга, антивирусные решения и платформы обнаружения угроз. Кроме того, разработка собственных правил позволяет организациям реагировать на новые угрозы оперативно, не дожидаясь обновлений от антивирусов. Это особенно важно в условиях роста числа новых вредоносных программ, которые могут быстро изменять свои характеристики и обходить стандартные методы обнаружения.