Киберпреступные группировки выстраивают целые инфраструктуры для распространения инфостилеров — вредоносных программ, которые воруют пароли, данные банковских карт и другую конфиденциальную информацию с заражённых устройств. Аналитики описывают так называемую «экосистему Stealer», где ключевыми звеньями выступают разработчики вредоносов, администраторы «трафик-команд» и так называемые «трафферы» — исполнители, отвечающие за массовое заражение пользователей. Трафик-команды функционируют как организованные преступные объединения: они распространяют вредоносное ПО, продают логи с украденными данными в даркнете и получают прибыль от этой деятельности. Рекрутинг новых участников активно идёт на форумах Lolz Guru, Exploit, BHF и особенно XSS, где с 2018 года опубликовано более 8,7 тысячи постов о трафферах. Для автоматизации набора используются Telegram-боты : кандидаты проходят «тестовый период», получают билд стилера и инструкции по распространению. Сами трафферы используют широкий спектр техник. Они создают фишинговые панели (например, под видом онлайн-казино), продвигают вредоносные ссылки через YouTube, TikTok и Instagram*, маскируя их под рекламные кампании или раздачу приложений. Ключевым инструментом выступает SEO: злоумышленники манипулируют поисковой выдачей Google, Yandex и Bing, чтобы продвигать заражённые сайты. На форумах встречаются целые «SEO-команды», которые применяют «чёрные» методы оптимизации — накрутку CTR, построение сетей фейковых сайтов (link farms), обход алгоритмов Panda и Penguin. Доходы распределяются по схемам, зафиксированным в объявлениях о наборе: чаще всего в пропорциях 79:21 или 65:35 в пользу траффера, что зависит от его опыта и уровня доверия. Иногда команды устанавливают фиксированные выплаты за количество установок вредоноса. При этом в некоторых случаях в загрузчики инфостилеров закладывают скрытые майнеры для дополнительного заработка. Характерный пример — Dungeon Team, активно действующая на Lolz Guru. В рекламных постах группа обещает своим трафферам FUD Loader (загрузчик, незаметный для антивирусов), бесплатные SEO-услуги и криптер для маскировки стилеров. Внутри команды фиксируется доходность: при краже криптокошелька свыше $30 исполнителю достаётся 65% прибыли, остальное уходит администратору. Скриншоты переписок подтверждают, что в работе используются Stealc V2 и Rhadamanthys Stealer , а логи с украденными данными выгружаются через Telegram-бота . Более того, участники сообщают о скрытых майнерах, встроенных в загрузчики. По данным исследования S2W, украденные логи равномерно охватывают пользователей по всему миру, за исключением стран СНГ. В числе похищенного встречаются и учётные записи корпоративных доменов, что повышает риск компрометации внутренних сетей компаний. Специалисты подчёркивают, что трафферы всё чаще комбинируют методы: от размещения скриптов в публичных GitHub-репозиториях до атак на Web3-кошельки через фейковые NFT-минтинги. Используются и эксплойты уязвимых сайтов университетов и госучреждений, куда внедряются редиректы на вредоносные страницы. Исследователи рекомендуют компаниям усилить мониторинг подозрительных доменов, внедрить поведенческое обнаружение (например, с помощью Sigma-правил) и внимательно отслеживать форумы, где продолжается постоянный набор новых трафферов. По сути, сформировался устойчивый «рынок трафика», где действуют свои правила, и каждое звено экосистемы чётко распределяет роли для максимизации прибыли от киберпреступлений .