Поделиться
Хакеры раскинули широкий невод из поддельных сайтов, чтобы ловить пользователей криптовалют
Группировка Dark Partners наплодила десятки сайтов, с которых под видом различных сервисов и утилит раздаются инфостилеры и программы для кражи криптовалют.
Темные делишки
Хакерская группировка Dark Partners («темные партнеры») развернула обширную сеть «клонированных» сайтов для распространения вредоносных программ под Windows и macOS, которые крадут данные - и криптовалюты.
В частности, злоумышленники развернули веб-сайты, которые выдаются за официальные ресурсы генеративных ИИ-сервисов для создания иллюстраций, видеороликов и прочих изображений, в том числе, Sora, DeepSeek, Haiper, Runway, Leonardo, Creatify и других. Всего исследователь безопасности, известный как g0njxa, насчитал не менее 37 таких поддельных площадок.
Он также выявил поддельные сайты криптоприложений и платформ TradingView, MetaTrader 5, Ledger, Exodus, Koinly, AAVE и Unusual Whales.
Сверх этого в сеть входят фальшивые сайты VPN-сервисов, таких как Windscribe; платежной платформы Stripe; бесплатного 3D-пакета Blender, платформы для контентмейкеров TikTok Studio, средства удаленного управления ПК UltraViewer и Mac Clean, средства очистки macOS.
Все сайты выглядят примерно одинаково: графическое оформление, кнопка «Download» («скачать») и фрейм с уведомлением о процессе скачивания.
При этом сайт проверяет, не скачивает ли «продукт» какой-либо бот, и какая операционная система установлена у потенциальной жертвы.
Lumma и Poseidon
В зависимости от этого пользователю автоматически загружается вредонос Lumma (если ОС - Windows), Poseidon (macOS) и дополнительно - загрузчик вредоносов Payday или его аналоги.
Любопытно, что инфраструктуру Lumma (Lumma Stealer) ближе к середине мая атаковали правоохранительные органы США, ЕС и Японии при поддержке Microsoft. Тогда был захвачен контроль над 2300 различными доменами, относившимися к Lumma. Но, видимо, их было больше.
Пользователям macOS выгружается Poseidon Stealer. Этот вредонос в июле 2024 г. был выставлен на продажу и приобретен неизвестным покупателем, который, впрочем, не стал вносить в него никаких существенных изменений.
Poseidon снабжен загрузчиком DMG и способен красть данные из браузеров на базе Chromium и Firefox. Они включают Chrome, Brave, Edge, Vivaldi, Opera и, собственно, Firefox. Штатный браузер Apple Safari к ним не относится.
Также Poseidon способен выводить данные из криптокошельков, таких как MetaMask. Сверх этого, он обыскивает системные каталоги, связанные с такими приложениями как Electrum, Coinomi, Exodus, Atomic, Wasabi, Ledger Live и др.
PayDay и его особенности
Загрузчик PayDay - это вредонос под Windows, который предназначен для доставки инфостилеров. Он снабжен модулем проверки среды, который определяет, какие процессы запущены в системе, и если обнаруживает те, которые обычно связаны со средствами анализа вредоносного ПО, и самоликвидируется, если таковые находит.
По данным g0njxa, вредонос использует ссылки Google Calendar для получения адреса командного сервера.
Процесс «обустройства» - установления постоянства присутствия - является многоэтапным, и включает запуск скрипта PowerShell при каждом входе в систему, монтирование нового виртуального диска (VHD), скрытого внутри переменного потока данных NTFS, и запуска файла с него. После этого диск размонтируется.
Загрузчик PayDay снабжен своим собственным модулем для кражи данных из криптокошельков, причем весьма разносторонним - под угрозой оказываются сразу 76 различных кошельков и десктоп-приложений.
Особое внимание привлекает тот факт, что все цифровые сертификаты для вредоносов под Windows до недавнего времени являлись действующими. По мнению g0njxa, Dark Partners их покупали на стороне.
Сейчас все эти сертификаты уже отозваны.
В отчете исследователя указаны почти 250 доменов, которыми пользовались злоумышленники.
«Речь идет о масштабной кампании, нацеленной на получение заработка, как через кражу криптовалют, так и продажу краденых данных», - отмечает Анастасия Мельникова, директор по информационной безопасности компании SEQ. «То, что сертификаты отозваны, означает, что какое-то время вредоносные программы под Windows функционировать не будут. Но злоумышленники вряд ли будут долго выжидать, скорее всего, покупка новых сертификатов и внесение изменений во вредоносы - вопрос ближайших недель, если не дней».
Короткая ссылка
