28.08.2025 - Маркетинг по-темному: как продают вредоносные программы

По данным BI.Zone, каждая десятая кибератака на российские компании совершается с помощью коммерческих вредоносных программ. Для злоумышленников это не просто инструмент, а целый рынок с конкуренцией, маркетингом и системой скидок. О том, как именно продают и продвигают такие программы в даркнете, рассказывает руководитель BI.Zone Threat Intelligence Олег Скулкин

ВПО как услуга: MaaS-модель в действии

Современные кибератаки — это сложная экосистема, которая построена на разделении труда между злоумышленниками с различной специализацией. Одним из ключевых звеньев этой цепи выступают разработчики и продавцы вредоносного программного обеспечения (ВПО). За деньги желающие могут получить временный или постоянный доступ к ВПО, а также связанной с ним инфраструктуре и техподдержке. Такая схема известна как malware-as-a-service, MaaS, — ВПО как услуга.

Продажа ВПО и его сервисное обслуживание — огромный теневой рынок со своими правилами, жесткой конкуренцией, маркетингом и скидочными политиками. Старая добрая модель воронки продаж AIDA (внимание — интерес — желание — действие) работает в продажах ВПО так же эффективно, как в любой другой сфере.

Первый контакт с целевой аудиторией происходит обычно через рекламные объявления. Почти половина сообщений на ресурсах злоумышленников — это именно предложения приобрести то или иное ВПО.

Каналы распространения объявлений. Объявления продавцы ВПО обычно публикуют на теневых форумах, а в четырех из пяти случаев еще и дублируют в своих Telegram-каналах. Правда, в последнее время из-за волны блокировок в Telegram злоумышленники все чаще делятся ссылкой на личный аккаунт и предлагают обсудить детали приватно. Кстати, администраторам форумов такое очень не нравится: тех продавцов, которые уводят потенциальных покупателей в Telegram, они обвиняют в недобросовестности и попытках обмана. На самом деле причина в другом: если сделка совершается через Telegram, администратор не получает комиссию от продажи.

Формат рекламы. Разработчики публикуют скриншоты интерфейса и описывают технические возможности своих вредоносов. Особый упор при этом делают на уникальные фичи, например продвинутые возможности по обходу средств защиты. Нередко для рекламы выбирают формат историй успеха. Например, продавцы стилеров (программы для кражи данных) Lumma и FormBook размещали на форумах скриншоты логов — данных, которые уже удалось похитить с помощью этих программ. А создатели трояна удаленного доступа Remcos RAT публиковали еще и отзывы довольных клиентов.

Таргетинг. Некоторые продавцы выбирают более точечный подход. Например, у трояна удаленного доступа njRAT есть коммерческая версия с дополнительной защитой от обнаружения, но гораздо чаще атакующие используют пиратский вариант программы. Разработчики отслеживают публикации, в которых пользователи форумов ищут бесплатный билдер (инструмент для создания своей версии ВПО), и пишут им в личку, рассказывая о преимуществах официальной версии и убеждая выбрать именно ее. Это напоминает таргетированную рекламу: предложение получают только те, кто недавно искал что-то похожее.

В целом лидогенерация и конверсия в продажи в мире киберпреступности не сильно отличаются от аналогичных процессов в легальном бизнесе.

Конкуренция и отстройка от соперников

Чем ниже цена ВПО, тем шире его потенциальная целевая аудитория, а значит, выше конкуренция в сегменте. Например, есть много стилеров со схожей функциональностью, поэтому их разработчикам приходится придумывать броские названия, запоминающийся фирменный стиль и удобный интерфейс.

Ожидания покупателей вредоносных программ можно свести к трем основным пунктам. На эти характеристики чаще всего и делают упор разработчики в отстройке от конкурентов.

Эффективность. Здесь все просто: нужно убедить покупателя, что вредонос лучше других справляется с задачей, для которой был создан. На сленге теневых ресурсов хорошую результативность обычно описывают понятием «высокий отстук». К примеру, если стилер способен извлечь 35-50% данных из нескольких разных систем, а средства детектирования его при этом не заметят, это считается хорошим отстуком. Доказательствами обычно служат скриншоты с успешно собранной информацией.

Простота в использовании. Одна из ключевых характеристик для покупателей коммерческого ВПО, ведь оно пользуется особым спросом среди киберпреступников без серьезного технического бэкграунда. Продавцы ВПО стараются показать, что их программы можно развернуть и использовать в один клик, причем для широкого спектра задач. Некоторые идут еще дальше и предлагают клиентам разработку дополнительных модулей под ключ по индивидуальным запросам. Незаметность. Это самая благодатная почва для отстройки. Сложно удивить базовым набором функций, вроде обхода стандартных встроенных средств защиты, и продавцы ВПО ищут другие пути. Например, заявляют, что их программа не шумная, то есть не выдает себя, чрезмерно нагружая процессор и память устройства, увеличивая сетевой трафик или оставляя следы в системных журналах. Другие делают упор на использование нестандартных инструментов для загрузки вредоносного кода в доверенные процессы. А есть и такие, кто предлагает услуги по дополнительной маскировке вредоносного кода — его криптованию.

Тарифы и бонусы

Формирование цены. Стоимость ВПО зависит от его функциональности, уровня техподдержки, частоты обновлений и репутации разработчика. Цены, как правило, указывают в долларах, реже — в евро или биткоинах, а оплату принимают в криптовалюте или через посредника-гаранта.

Как и у легальных программ, у ВПО есть различные варианты лицензий. Например, троян Remcos RAT в 2024 году был доступен как в версии для одного пользователя сроком на месяц, так и в enterprise-версии, которую можно приобрести на полгода для 10 пользователей. В первом случае стоимость составляла €79, а во втором — €1449 и включала услуги техподдержки, а также доступ ко всем обновлениям.

Чем дороже тарифный план, тем больше функций доступны покупателю. Базовые возможности стилера могут сводиться к простой выгрузке логов. А вот продвинутые версии предлагают дополнительные опции по обходу средств защиты информации, чтобы как можно дольше оставаться незамеченными в атакуемой инфраструктуре.

Скидки и бонусы. За последний год цены на ВПО выросли в среднем в полтора раза. Однако разработчики регулярно предлагают клиентам скидки, иногда даже устраивая что-то вроде «черной пятницы» или сезонной распродажи. Случаются даже маркетинговые коллаборации. К примеру, как-то разработчики WebCryptor (программа для маскировки вредоносного кода, чтобы средствам защиты было сложнее его распознать) совместно с создателями стилера WhiteSnake объявили конкурс. От участников требовалось подписаться на оба канала и активно оставлять комментарии. Десять победителей получали скидку на подписку или денежные призы, разумеется, в криптовалюте.

Скидки предоставляют также постоянным клиентам и тем, кто покупает несколько лицензий. А вот промокодов в привычном понимании на теневых ресурсах не бывает. Реферальные программы обычно не афишируются и действуют в формате индивидуальных договоренностей или скидок тем, кто приводит новых клиентов.

Вывод

Рынок ВПО устроен по тем же законам, что и легальный IT-сектор: там есть конкуренция, реклама, продажи, поддержка и даже черные пятницы. Разработчики вредоносных программ пытаются сделать свои решения простыми, удобными и привлекательными для максимального числа атакующих. Популярность модели MaaS растет, тем самым снижая порог входа в киберпреступность. А значит, атаки с использованием коммерческого ВПО будут совершать все чаще.

Сегодня знания о самых популярных коммерческих вредоносах — неотъемлемая часть того фундамента, на котором строится стратегия киберзащиты любой организации. Именно поэтому киберразведчики уделяют столько внимания изучению теневых ресурсов, на которых взаимодействуют злоумышленники. Ведь чем подробнее разработчики описывают свое ВПО, тем больше специалисты по безопасности смогут узнать о том, как оно работает и как от него защититься.

Постоянный адрес материала - Маркетинг по-темному: как продают вредоносные программы