Кампания «Темные партнеры»: опасные инфокрады для Windows и macOS
Источник: g0njxa.medium.com
Новая вредоносная кампания «Dark Partners»: угроза для Windows и macOS
Недавняя вредоносная кампания, приписываемая загадочным хакерам под названием «Dark Partners», выявила новые риски для пользователей операционных систем Windows и macOS. Злоумышленники используют сложный загрузчик PayDay Loader, направленный на распространение разнообразных инфокрадов с целью кражи конфиденциальных данных, включая криптовалютные кошельки.
Как работает PayDay Loader
Распределение вредоносного ПО осуществляется через фальшивые веб-сайты, имитирующие популярные сервисы искусственного интеллекта и VPN, что направлено на укрепление доверия пользователей. Основной инструмент злоумышленников — загрузчик PayDay Loader, размещённый на хостинге download.dianecarson.workers.dev.
- Особенности PayDay Loader:
- Приложение способно незаметно загружать дополнительные вредоносные модули на заражённый компьютер.
- Имеет встроенные механизмы защиты против выполнения в песочницах (sandbox), что затрудняет анализ и выявление вредоносного кода.
- Для передачи данных о сервере управления (C2) используется кодирование с помощью ссылок на Google Calendar.
- В случае обнаружения запуска в изолированной среде вредоносная программа прекращает работу и удаляется.
Операционный алгоритм включает расшифровку и скачивание дополнительных исполняемых JavaScript-модулей с сервера C2, которые затем устанавливают разнообразные инфокрады, в том числе Lumma Stealer. Этот инфокрад специализируется на сборе конфиденциальной информации, в первую очередь — данных криптовалютных кошельков.
Стойкость к удалению и автозапуск
Для обеспечения долговременного присутствия на заражённых устройствах, PayDay Loader внедряет запланированные задачи PowerShell, которые автоматически выполняются при входе пользователя в систему, поддерживая постоянное функционирование загрузчика и инфокрадов.
Poseidon Stealer и атака на macOS
Вредонос, известный как Poseidon Stealer, который теперь находится под контролем Dark Partners, нацелен на пользователей macOS. Для распространения он использует кастомные DMG-образы и AppleScript, позволяющие получить доступ к:
- Файлам cookie в браузерах;
- Заметкам;
- Файлам криптовалютных кошельков.
Добытые данные затем отправляются злоумышленникам через HTTP POST-запросы на удалённые серверы.
Использование сертификатов для легализации вредоносов
Особенностью кампании является применение EV-сертификатов для цифровой подписи вредоносных приложений. Покупка таких сертификатов увеличивает доверие систем и облегчает обход механизмов безопасности. Однако часто сертификаты отзываются вскоре после обнаружения, что вызывает временные сбои и вынуждает злоумышленников применять менее защищённые сборки или приостанавливать деятельность.
Цели и последствия кампании
Главная задача злоумышленников из Dark Partners — монетизация украденных данных. Особое внимание уделяется:
- Ликвидации остатков криптовалюты с кошельков жертв;
- Получению учетных данных с помощью инфокрадов.
Эта кампания подчёркивает важность повышенной бдительности пользователей и организаций в вопросах кибербезопасности, особенно в контексте фишинговых сайтов и сложных методов сокрытия вредоносного ПО.
Рекомендуется внимательно проверять URL-адреса сервисов и избегать загрузки приложений с подозрительных ресурсов, а также использовать современные средства защиты и мониторинга активности.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
