Новые угрозы: DeepSeek и вредоносный TookPS-скачиваемый трекер

Источник: securelist.com
В начале марта текущего года провели исследование, которое выявило несколько вредоносных кампаний, использующих модель DeepSeek large language model (LLM) в качестве приманки. Одним из главных объектов атаки стал TookPS downloader, который имитирует нейронные сети и связан с мошенническими веб-сайтами, рекламирующими законные приложения, такие как UltraViewer, AutoCAD и SketchUp, в качестве бесплатных загрузок.
Механизм атаки
Кампания нацелена как на отдельных пользователей, так и на организации, которые используют указанные бизнес-инструменты. Анализ показал, что вредоносные файлы обозначены как Ableton.exe и QuickenApp.exe, что свидетельствует о широкой стратегии, направленной на обман пользователей с целью загрузки вредоносного ПО, замаскированного под законное программное обеспечение.
Процесс заражения начинается с Trojan-Downloader.Win32.TookPS, который, попав на устройство жертвы, подключается к серверу управления (C2), как это закодировано в вредоносной программе. Особенности механизма атаки включают:
- Разные образцы TOOKP связаны с различными доменами, например, один из них (MD5 2AEF18C97265D00358D6A778B9470960) связан с неактивным доменом bsrecov4.digital.
- Извлечение скрипта PowerShell, который запускает серию команд, включая выполнение других скриптов для загрузки и запуска ключевых компонентов, таких как sshd.exe.
- Установка параметров для удаленного доступа и развертывание Backdoor.Win32.TeviRat, который изменяет функциональность TeamViewer с помощью дополнительной загрузки библиотеки DLL.
Дополнительные угрозы
Во время атаки также был зафиксирован бэкдор Backdoor.Win32.Lapmon, использующий домен twomg.xyz в качестве C2. Все операции, связанные с вредоносными программами, осуществлялись через домены, зарегистрированные в начале 2024 года на определенных IP-адресах без законных ресурсов, что подтверждает наличие у киберпреступников устойчивой инфраструктуры, вероятно, существовавшей до начала кампании TookPS.
Рекомендации экспертов
Приманка DeepSeek представляет собой лишь часть более масштабной кампании, нацеленной на домашних пользователей и предприятия. Злоумышленники используют маскировку вредоносного ПО под широко применяемые программные приложения для получения скрытого доступа к устройствам жертв.
Эксперты по безопасности настоятельно рекомендуют пользователям:
- Проявлять осторожность и избегать загрузки пиратского программного обеспечения.
- Проверять достоверность программ и источников их загрузки.
- Использовать антивирусные решения для защиты от возможных угроз.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



