DigitStealer: C2-инфраструктура и атаки на macOS, криптокошельки
Jamf Threat Labs впервые зафиксировали DigitStealer в ноябре 2025 года. По данным исследования, это вредоносное ПО для кражи информации, нацеленное в первую очередь на криптовалютные кошельки, данные браузеров и данные Связка ключей macOS, а также на другую конфиденциальную информацию.
Ключевые характеристики вредоносного ПО
- Цели: ряд криптовалютных кошельков, браузерные данные, данные Связка ключей macOS и иная чувствительная информация.
- Отсутствие общей веб‑панели: у DigitStealer очевидно нет web‑панели для совместного доступа между операторами или аффилированными лицами, что отличает его от многих других семей инфостилеров.
- Коммуникационная модель: многогранная, использует четыре отдельные конечные точки для операций управления (C2).
Jamf Threat Labs характеризует DigitStealer как «вредоносное ПО для кражи информации».
Инфраструктура и сетевые признаки
Анализ инфраструктуры выявил ряд устойчивых шаблонов, которые могут помочь в обнаружении и связывании новых доменов и серверов с операциями DigitStealer:
- Все выявленные домены, связанные с DigitStealer, используют домен верхнего уровня .com.
- Проверка базовых IP‑адресов с помощью Hunt.io показала, что эти IP размещены в одной сети — в частности в сети Abstract Ltd (Швеция).
- Операторы отдавали заметное предпочтение регистратору доменов Tucows, что указывает на возможный автоматизированный процесс регистрации доменов.
- Аномалия: один домен, зарегистрированный на Immaterialism Limited, подключался к серверу DigitStealer, но не соответствовал установленному шаблону .com и, по оценкам аналитиков, не играет существенной роли в активности вредоносного ПО.
- Серверные признаки: использование HTTPS‑серверов nginx на порту 443 и наличия двух версий OpenSSH — совокупность этих атрибутов создает узнаваемый отпечаток операций.
Значение общей инфраструктуры для обнаружения угроз
Согласованность в сетевой структуре C2 — единые TLD (.com), предпочтения регистратора (Tucows), размещение IP в сети Abstract Ltd и одинаковые серверные стеки (nginx + OpenSSH) — дала аналитикам возможность выявить дополнительные потенциально связанные домены, о которых ранее не сообщалось. Анализ общих сетевых атрибутов, привязанных к известным серверам C2, позволяет усилить мониторинг и мер по устранению угроз.
Практические рекомендации для компаний и аналитиков
- Контролировать внезапные регистрации доменов в зоне .com, особенно через регистратор Tucows, и проверять корреляцию с известными шаблонами DigitStealer.
- Мониторить IP‑диапазоны и хостинг в сети Abstract Ltd и проводить ретроспективный поиск соединений с подозрительными серверами nginx на порту 443.
- Идентифицировать серверы с совпадающими версиями OpenSSH и необычной конфигурацией HTTPS как потенциальные индикаторы компрометации.
- Проводить тщательный аудит систем на предмет утечек из браузеров и Связка ключей macOS, особенно в средах, где используются криптокошельки.
- Использовать обнаруженные сетевые отпечатки для расширения списков индикаторов компрометации (IoC) и автоматизации правил обнаружения в SIEM/EDR.
Вывод
DigitStealer представляет собой целенаправленное инфостилер‑семейство с четко выраженной сетевой и регистрационной «подписью». Наличие нескольких согласованных атрибутов инфраструктуры упрощает обнаружение и связывание новых артефактов с кампанией. Для эффективного противодействия важно сочетать мониторинг регистрационных данных, анализ хостинга и сигнатурное обнаружение на уровне сетевой инфраструктуры и конечных систем.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
