Новые угрозы: DeepSeek и вредоносный TookPS-скачиваемый трекер

Новые угрозы: DeepSeek и вредоносный TookPS-скачиваемый трекер

Источник: securelist.com

В начале марта текущего года провели исследование, которое выявило несколько вредоносных кампаний, использующих модель DeepSeek large language model (LLM) в качестве приманки. Одним из главных объектов атаки стал TookPS downloader, который имитирует нейронные сети и связан с мошенническими веб-сайтами, рекламирующими законные приложения, такие как UltraViewer, AutoCAD и SketchUp, в качестве бесплатных загрузок.

Механизм атаки

Кампания нацелена как на отдельных пользователей, так и на организации, которые используют указанные бизнес-инструменты. Анализ показал, что вредоносные файлы обозначены как Ableton.exe и QuickenApp.exe, что свидетельствует о широкой стратегии, направленной на обман пользователей с целью загрузки вредоносного ПО, замаскированного под законное программное обеспечение.

Процесс заражения начинается с Trojan-Downloader.Win32.TookPS, который, попав на устройство жертвы, подключается к серверу управления (C2), как это закодировано в вредоносной программе. Особенности механизма атаки включают:

  • Разные образцы TOOKP связаны с различными доменами, например, один из них (MD5 2AEF18C97265D00358D6A778B9470960) связан с неактивным доменом bsrecov4.digital.
  • Извлечение скрипта PowerShell, который запускает серию команд, включая выполнение других скриптов для загрузки и запуска ключевых компонентов, таких как sshd.exe.
  • Установка параметров для удаленного доступа и развертывание Backdoor.Win32.TeviRat, который изменяет функциональность TeamViewer с помощью дополнительной загрузки библиотеки DLL.

Дополнительные угрозы

Во время атаки также был зафиксирован бэкдор Backdoor.Win32.Lapmon, использующий домен twomg.xyz в качестве C2. Все операции, связанные с вредоносными программами, осуществлялись через домены, зарегистрированные в начале 2024 года на определенных IP-адресах без законных ресурсов, что подтверждает наличие у киберпреступников устойчивой инфраструктуры, вероятно, существовавшей до начала кампании TookPS.

Рекомендации экспертов

Приманка DeepSeek представляет собой лишь часть более масштабной кампании, нацеленной на домашних пользователей и предприятия. Злоумышленники используют маскировку вредоносного ПО под широко применяемые программные приложения для получения скрытого доступа к устройствам жертв.

Эксперты по безопасности настоятельно рекомендуют пользователям:

  • Проявлять осторожность и избегать загрузки пиратского программного обеспечения.
  • Проверять достоверность программ и источников их загрузки.
  • Использовать антивирусные решения для защиты от возможных угроз.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: