Мащабна зловредна кампания, управлявана от хакерската група Dark Partners, използва мрежа от фалшиви сайтове за изтегляне на приложения, за да разпространява инфостийлъри и да извършва кражби на криптовалута в световен мащаб. Сайтовете се представят като официални страници на популярни ИИ инструменти, VPN услуги и крипто приложения, но всъщност доставят зловреден софтуер като Poseidon Stealer (за macOS), Lumma Stealer (за Windows) и PayDay Loader.
Тези инструменти крадат чувствителна информация – от идентификационни данни, бисквитки и системна информация до частни ключове и крипто портфейли – която най-вероятно се продава на черния пазар.
За Windows, атакуващите са използвали валидни кодови сертификати от различни компании, за да подпишат зловредния код. Един от най-често използваните инструменти е PayDay Loader, който е създаден като Electron-базирано приложение и включва модул за кражба на данни, написан на NodeJS.
В зловредния код са открити анти-анализ модули, които проверяват за процеси на инструменти за сигурност, и ако бъдат открити, прекратяват изпълнението на програмата.
В случая с macOS, групата използва Poseidon Stealer, доставян чрез .DMG файлове. Зловредният софтуер е насочен основно към браузъри като Chrome, Brave, Edge, Vivaldi, Opera и Firefox, като извлича информация от разширения и портфейли, включително MetaMask, Exodus, Atomic, Ledger Live и други.
Киберпрестъпниците разпространяват зловредния код чрез уебсайтове, които имитират легитимни приложения – общо над 37 известни инструмента и услуги. Сред тях се открояват ИИ платформи като Sora, DeepSeek, Haiper, Runway, Leonardo и Creatify, както и крипто приложения като MetaTrader 5, Ledger, Exodus, AAVE и други.
Списъкът на имитираните услуги включва още VPN услуги като Windscribe, Stripe, Blender, TikTok Studio, UltraViewer, както и почистващото приложение Mac Clean.
Според киберизследователя g0njxa, който пръв анализира кампанията, сайтовете имат елементарна структура – само бутон за изтегляне и елемент със съобщение „Waiting for the file to download“, което улеснява тяхното идентифициране. Преди да предостави файла, сайтът изпраща данни за устройството на потребителя чрез POST заявка, за да избегне автоматизирани анализи.
Особено тревожен е начинът, по който PayDay Loader установява постоянство на заразената система. Скрипт, стартиран при всяко влизане в системата, монтира скрит виртуален диск (VHD), съдържащ зловредния код, стартира го, след което демонтира диска и премахва следите.
Освен това, C2 сървърът (command-and-control) за комуникация със зловредния софтуер се извлича чрез обфускирана функция, която използва линк към Google Calendar – техника, която цели избягване на филтрация и блокиране от системи за сигурност.
Към момента използваните сертификати за подписване на зловредния код вече са невалидни, което временно блокира активната фаза на атаката. Въпреки това, заплахата остава, тъй като инфраструктурата на групата и методите им на разпространение са лесни за повторно активиране.
g0njxa предоставя подробен списък с индикатори на компрометиране – включително почти 250 фалшиви домейна, свързани със зловредните кампании на Dark Partners. Изследователят е известен в киберсредите със своите анализи на групи, извършващи кражби от крипто портфейли, сред които и печално известната банда Crazy Evil, специализирана в социално инженерство чрез социални мрежи.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
