Мащабна зловредна кампания, управлявана от хакерската група Dark Partners, използва мрежа от фалшиви сайтове за изтегляне на приложения, за да разпространява инфостийлъри и да извършва кражби на криптовалута в световен мащаб. Сайтовете се представят като официални страници на популярни ИИ инструменти, VPN услуги и крипто приложения, но всъщност доставят зловреден софтуер като Poseidon Stealer (за macOS), Lumma Stealer (за Windows) и PayDay Loader.
Тези инструменти крадат чувствителна информация – от идентификационни данни, бисквитки и системна информация до частни ключове и крипто портфейли – която най-вероятно се продава на черния пазар.
Инфостийлъри за Windows и macOS
За Windows, атакуващите са използвали валидни кодови сертификати от различни компании, за да подпишат зловредния код. Един от най-често използваните инструменти е PayDay Loader, който е създаден като Electron-базирано приложение и включва модул за кражба на данни, написан на NodeJS.
В зловредния код са открити анти-анализ модули, които проверяват за процеси на инструменти за сигурност, и ако бъдат открити, прекратяват изпълнението на програмата.
В случая с macOS, групата използва Poseidon Stealer, доставян чрез .DMG файлове. Зловредният софтуер е насочен основно към браузъри като Chrome, Brave, Edge, Vivaldi, Opera и Firefox, като извлича информация от разширения и портфейли, включително MetaMask, Exodus, Atomic, Ledger Live и други.
Атака чрез фалшиви страници на известни платформи
Киберпрестъпниците разпространяват зловредния код чрез уебсайтове, които имитират легитимни приложения – общо над 37 известни инструмента и услуги. Сред тях се открояват ИИ платформи като Sora, DeepSeek, Haiper, Runway, Leonardo и Creatify, както и крипто приложения като MetaTrader 5, Ledger, Exodus, AAVE и други.
Списъкът на имитираните услуги включва още VPN услуги като Windscribe, Stripe, Blender, TikTok Studio, UltraViewer, както и почистващото приложение Mac Clean.
Според киберизследователя g0njxa, който пръв анализира кампанията, сайтовете имат елементарна структура – само бутон за изтегляне и елемент със съобщение „Waiting for the file to download“, което улеснява тяхното идентифициране. Преди да предостави файла, сайтът изпраща данни за устройството на потребителя чрез POST заявка, за да избегне автоматизирани анализи.
Сложен механизъм за прикриване и постоянство
Особено тревожен е начинът, по който PayDay Loader установява постоянство на заразената система. Скрипт, стартиран при всяко влизане в системата, монтира скрит виртуален диск (VHD), съдържащ зловредния код, стартира го, след което демонтира диска и премахва следите.
Освен това, C2 сървърът (command-and-control) за комуникация със зловредния софтуер се извлича чрез обфускирана функция, която използва линк към Google Calendar – техника, която цели избягване на филтрация и блокиране от системи за сигурност.
Разследване и временно спиране на кампанията
Към момента използваните сертификати за подписване на зловредния код вече са невалидни, което временно блокира активната фаза на атаката. Въпреки това, заплахата остава, тъй като инфраструктурата на групата и методите им на разпространение са лесни за повторно активиране.
g0njxa предоставя подробен списък с индикатори на компрометиране – включително почти 250 фалшиви домейна, свързани със зловредните кампании на Dark Partners. Изследователят е известен в киберсредите със своите анализи на групи, извършващи кражби от крипто портфейли, сред които и печално известната банда Crazy Evil, специализирана в социално инженерство чрез социални мрежи.
