Анализ угрозы SoraAI.lnk: кража данных через поддельный Sora от OpenAI

SoraAI.lnk: новый вредоносный инфостилер, маскирующийся под AI-инструмент от OpenAI

Недавнее исследование выявило опасную вредоносную программу SoraAI.lnk, созданную для кражи пользовательских данных под видом модели генерации видео Sora от OpenAI. Эта угроза демонстрирует высокий уровень технической проработки и использования методов социальной инженерии, что требует повышенного внимания со стороны пользователей и специалистов по кибербезопасности.

Механизм распространения и функционирования

Впервые SoraAI.lnk была обнаружена 21 мая 2025 года во Вьетнаме. С тех пор вредонос распространился в несколько других стран, хотя точный масштаб ущерба пока не установлен.

Программа распространяется через файлы, замаскированные под легитимное ПО и размещённые на платформе Github. После запуска вредоносный компонент инициирует процесс PowerShell, который скачивает дополнительные вредоносные скрипты, сохраняет их в виде пакетных файлов (a.bat, 1.bat) во временной директории и выполняет их.

Технические особенности и этапы работы

• Многоэтапный запуск: скрипт 1.bat подавляет вывод команд и настраивает переменные окружения для корректного выполнения дальнейших команд.
• Установка Python-пакетов: используются библиотеки requests, websocket-client, pywin32, aiohttp и cryptography, обеспечивающие HTTP-соединения, работу с асинхронным обменом данными и шифрование.
• Основная нагрузка: скрипт python.py реализует функции сбора и эксфильтрации информации.

Функции кражи и эксфильтрации данных

SoraAI.lnk обладает классическими возможностями инфостилеров, включая:

• Сбор данных из популярных браузеров, таких как Chrome, Firefox, а также из Opera с целью получения паролей.
• Расшифровку и обработку данных с использованием шифрования, связанного с приложениями Chrome.
• Отправку украденной информации злоумышленникам через Telegram с помощью Bot API.

Кроме того, вредонос сжимает полученные данные в архивы формата ZIP, присваивая имена файлам с помощью случайно сгенерированных идентификаторов для маскировки.

Управление передачей информации и скрытие следов

• Уведомление операторов о новой полученной информации посредством Telegram-бота.
• Контроль размера передаваемых файлов с возможностью загрузки больших архивов на файлообменные сервисы, такие как GoFile.io.
• Обход системы для сбора файлов с типичными расширениями из пользовательских директорий и их заархивирование.
• Удаление локальных копий файлов после передачи для затруднения анализа и обнаружения вредоносной активности.

Рекомендации по безопасности

Отсутствие адекватных мер защиты на устройствах представляет серьезную опасность при заражении данной программой. Для минимизации риска заражения стоит соблюдать следующие рекомендации:

• Крайне осторожно относиться к скачиванию и запуску файлов из непроверенных источников, особенно с платформ вроде Github.
• Использовать современное антивирусное ПО с регулярным обновлением баз сигнатур.
• Обеспечить своевременное обновление операционной системы и программного обеспечения.
• Ограничить права пользователей, минимизируя возможность запуска скриптов и установки ПО без необходимого контроля.

_SoraAI.lnk_ служит наглядным примером современных угроз с высоким уровнем маскировки и технологической сложности, что подчеркивает важность повышения осведомленности пользователей и непрерывного совершенствования средств защиты.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.