Количество кибератак с подменой DLL за год выросло в России в 4 раза

По данным «Лаборатории Касперского», число кибератак с подменой DLL (Dynamic Link Library Hijacking) в России в первом полугодии 2025 года по сравнению с аналогичным периодом в 2024 году увеличилось в 4 раза.

DLL Hijacking — распространенная техника, когда атакующие подменяют DLL-файлы (библиотеки), которые загружает и выполняет легитимное ПО в процессе своей работы, на вредоносные с таким же именем. Это позволяет злоумышленникам обойти защиту на устройстве жертвы и совершить атаку. Подмену библиотек используют как создатели массового вредоносного ПО, например банковских троянцев, так и группы, совершающие целевые кибератаки. Например, подобным образом распространяется Lumma, один из наиболее активных стилеров в 2025 году. «Лаборатория Касперского» наблюдала эту технику и ее вариации, такие как DLL Sideloading*, в таргетированных кампаниях против организаций в России, Южной Корее, Африке, а также в других странах и регионах.

Для защиты от подобных атак «Лаборатория Касперского» внедрила в свою SIEM-систему Kaspersky Unified Monitoring and Analysis Platform ИИ-функциональность, которая непрерывно анализирует информацию обо всех загруженных библиотеках. Она реализована на базе модели машинного обучения, которая способна выделять события, похожие на DLL Hijacking, в отдельную категорию. Предварительно модель была протестирована в решении Kaspersky Managed Detection and Response, где помогла обнаружить и предотвратить несколько инцидентов, связанных с подменой библиотек.

«Мы наблюдаем рост числа кибератак с подменой DLL — когда в результате манипуляций злоумышленников легитимная программа загружает подменную библиотеку вместо настоящей, что дает возможность запустить вредоносный код. Эту технику сложно обнаружить, и здесь на помощь ИБ-специалистам приходит искусственный интеллект. Использование передовых методов защиты, усиленных ИИ-технологиями, сегодня необходимо, чтобы отражать новые киберугрозы и обеспечивать безопасность критически важных систем», — комментирует Анна Пиджакова, исследователь данных в «Лаборатории Касперского».

* DLL Sideloading — вид атаки на устройства под управлением Windows, при которой вредоносная библиотека DLL распространяется вместе с легитимным приложением, которое ее выполняет.