СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
2 часа назад
#ИБ

Троянский установщик Anchor Wallet маскируется под легитимный кошелек

Новая campaign вокруг домена anchorwallet.org демонстрирует высокий уровень подготовки и целенаправленный подход к распространению malicious software под видом legitimate криптокошелька Greymass Anchor. По данным отчета, злоумышленники используют selective delivery: пользователям macOS и Linux выдаются authentic installers, тогда как для Windows распространяется сильно trojanized executable объемом 656 МБ, подписанный EV certificate, привязанным к подставной company в New Delhi.

Такая схема повышает perceived legitimacy файла и помогает обходить security mechanisms, включая SmartScreen. При этом Windows-сборка заметно больше official installer и запускает complex attack chain сразу после execution.

Как работает схема заражения

По описанию отчета, attack chain начинается с перехода жертвы на phishing site anchorwallet.org. Далее пользователь получает файл, который внешне выглядит как legitimate installer, но фактически содержит trojanized payload.

После запуска исполняемый файл:

  • извлекает server of management (C2);
  • устанавливает связь с доменом zorvexion24.com;
  • запускает вредоносные PowerShell и batch scripts;
  • использует Windows BITS для дальнейшего развертывания payload;
  • применяет obfuscation techniques, включая zero-byte padding с высокой нагрузкой на CPU.

Отдельно отмечается, что домен C2 был зарегистрирован в тот же день, что и сборка trojan, что указывает на тесную operational coordination.

Remote Utilities Host 7.1 как средство закрепления

С домена zorvexion24.com загружается payload, идентифицированный как Remote Utilities Host 7.1 — legitimate remote administration tool, который используется злоумышленниками для persistent access. Это позволяет им сохранять контроль над compromised devices и при этом маскировать активность под обычный IT traffic.

Использование legitimate remote management software — один из наиболее эффективных способов скрыть malicious activity на фоне обычных enterprise-процессов.

Социальная инженерия и маскировка под официальное ПО

Фишинговый сайт использует несколько приемов, чтобы повысить доверие жертвы. Среди них — OS-detection JavaScript, который определяет операционную систему пользователя и предлагает соответствующий файл.

Дополнительную убедительность создают:

  • готовые SHA-256 hash sums, якобы подтверждающие подлинность файла;
  • поддельная контрольная информация для Windows-файла;
  • использование неизменной версии из official release для macOS и Linux, что создает illusion of trust.

Именно эта комбинация selective delivery и подмены доверия делает кампанию особенно опасной: пользователь видит знакомый и ожидаемый installer, но получает вредоносный executable.

Инфраструктура и возможная атрибуция

Отчет указывает, что campaign может быть financially motivated. Кроме того, ряд признаков намекает на возможные связи с русскоязычными threat actors. В качестве одного из индикаторов приводится использование Яндекс Метрика на phishing site.

Регистрационные данные и общая operational pattern также напоминают предыдущие случаи, когда индийские shell companies использовались для подписания malicious software. В данном случае EV certificate, связанный с подставной company в New Delhi, усиливает впечатление legitimacy и затрудняет detection.

Что делает эту кампанию особенно опасной

Эта операция выделяется сразу по нескольким причинам:

  • использование legitimate-looking сайта под бренд известного crypto wallet;
  • выборочная выдача файлов в зависимости от operating system;
  • подпись вредоносного файла EV certificate;
  • запуск multiple stages of attack после execution;
  • применение legitimate remote access tool для закрепления;
  • маскировка network traffic под обычную IT-активность.

В совокупности эти элементы показывают, что злоумышленники не просто распространяют malware, а строят полнофункциональную инфраструктуру для долговременного доступа и скрытого управления зараженными устройствами.

Вывод: campaign вокруг anchorwallet.org подтверждает, что современные cyber threats все чаще сочетают legitimate software, сложную social engineering и тщательно подготовленную delivery infrastructure. Для пользователей crypto ecosystem это означает необходимость особенно внимательно проверять источники загрузки, домены и цифровые подписи файлов.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: