Scrublord на скамье подсудимых: оператор SmokeLoader попался на краже данных 65 тыс. человек

Один из предполагаемых операторов вредоносной программы SmokeLoader оказался в центре уголовного дела в США после обвинений в краже данных более 65 тысяч человек. Обвиняемый Николас Мозес, выступавший под псевдонимом «scrublord», по данным следствия, использовал вредоносное ПО для массового сбора личной информации и паролей пользователей по всему миру.

Изначально дело рассматривалось в Северной Каролине, однако в середине прошлой недели материалы были переданы федеральным прокурорам в Вермонте. Причины перевода пока остаются неясными, но в приобщённых документах содержится информация о том, что Мозес признал свою вину по одному из пунктов обвинения — сговор с целью мошенничества и неправомерных действий, связанных с компьютерами.

Следствие утверждает, что с начала 2022 года до мая 2023 года Мозес поддерживал командный сервер в Нидерландах, с помощью которого управлял ботнетом SmokeLoader. Это вредоносное ПО работает как загрузчик — оно позволяет установить на заражённый компьютер более специализированные и незаметные программы, включая шпионские модули, средства кражи учётных данных и инструменты для DDoS-атак.

По информации прокуратуры, Мозес хранил базу данных с более чем 619 тысячами файлов, содержащих похищенные данные пользователей, и продавал полученные логины и пароли к различным онлайн-сервисам по цене от одного до пяти долларов за штуку. В ноябре 2022 года он якобы делился этими данными в одном из чатов, утверждая, что обладает более чем полумиллионом логов, полученных через SmokeLoader.

Среди жертв значится как минимум одно финансовое учреждение из Шарлотт (Северная Каролина), застрахованное Федеральной корпорацией по страхованию вкладов (FDIC). Несмотря на это, уголовное дело продолжает вестись в Вермонте. По информации СМИ, Департамент юстиции США пока не комментирует детали дела.

SmokeLoader — не новая угроза . Этот вредоносный инструмент впервые появился на подпольных форумах ещё в 2011 году и с тех пор активно используется киберпреступниками. Он распространяется в различных конфигурациях — от базовой версии за $400 до расширенного комплекта за $1650 с полным набором модулей.

Отдельное внимание к этому ПО возникло после крупномасштабной международной операции по его ликвидации. В мае 2024 года Европол провёл операцию под названием Endgame, в ходе которой были выведены из строя крупнейшие дропперы вредоносного ПО, включая SmokeLoader, IcedID, Pikabot и другие.

В начале 2025 года в рамках продолжения операции в ряде стран, включая США, Канаду, Францию, Германию, Нидерланды и Чехию, были проведены задержания, обыски и допросы пользователей ботнета SmokeLoader. Европол отметил, что некоторые из них продавали доступ к вредоносному ПО с наценкой, а другие считали, что давно выпали из поля зрения правоохранителей, но ошиблись.

По информации Европола, операция Endgame будет продолжаться, и новые аресты или следственные действия не исключены. Это свидетельствует о растущей международной координации в борьбе с преступной киберинфраструктурой и попытками деанонимизации её участников.