北京
一個由虛假AI、VPN和加密軟件下載網站組成的龐大網絡正被名為“Dark Partners”的網絡犯罪團伙用來在全球范圍內進行加密盜竊攻擊。
偽裝成受歡迎的應用程序,這些克隆網站分發Poseiden(macOS)和Lumma(Windows)信息竊取器和惡意軟件加載器,如Payday。這種惡意軟件用于竊取加密貨幣和敏感數據,例如主機信息、憑證、私鑰或Cookies,這些數據可能會在網絡犯罪分子的市場上出售。
在Windows上,攻擊者使用來自多家公司的證書對惡意軟件構建進行數字簽名,其中之一就是PayDay Loader。
其中一個被發送到這些機器上的是Lumma Stealer,這是一個惡意軟件操作,執法部門在本月早些時候通過查封數千個域名和部分基礎設施來破壞它。
在macOS上,該攻擊者發布了Poseidon Stealer,它使用自定義DMG啟動器,目標是基于Firefox和chrome的web瀏覽器。
目標錢包文件夾
網絡安全研究人員go0njxa稱這次活動背后的威脅者為““Dark Partners”,他描述了感染步驟并分析了所使用的惡意軟件。
Dark Partners通過簡單的網站提供信息發布者,這些網站模仿了至少37個應用程序和工具,其中一些使用生成式人工智能技術來創建插圖、視頻和藝術圖像(例如Sora、DeepSeek、Haiper、Runway、Leonardo、Creatify)。
該名單還包括7個加密應用和平臺,如TradingView、MetaTrader 5、Ledger、Exodus、Koinly、AAVE和Unusual Whales。
這些假網站還包括VPN服務,如Windscribe、支付處理平臺Stripe、3D建模應用Blender、專注于創作者的平臺TikTok Studio、遠程桌面解決方案UltraViewer和Mac Clean (macOS的系統清潔工具)。
根據gonnjxa的說法,登陸頁面提供的只是一個下載按鈕,它們都共享一個自定義的“等待文件下載”框架,這樣就很容易發現它們。
AI驅動視頻生成器的虛假下載頁面
在提供惡意軟件之前,該網站檢查bot下載并通過POST請求將用戶信息發送到端點。最后,下載操作是基于請求它的操作系統觸發的。
研究人員表示,PayDay Loader小組(靈感來自同名游戲)的主持人在2024年8月也有一個Poseidon Stealer小組。
PayDay 加載器面板
值得注意的是,臭名昭著的Poseidon Stealer在2024年7月被出售,收購方來源不明。自出售以來,該惡意軟件的有效載荷沒有發生重大變化。
Poseidon的AppleScript代碼顯示,它可以收集瀏覽器數據,其中包括來自基于Chrome的瀏覽器(如Chrome、Brave、Edge、Vivaldi、Opera和Firefox)和錢包(如MetaMask)的特定擴展數據。
它還專門針對桌面應用程序的錢包文件夾,如Electrum、Coinomi、Exodus、Atomic、Wasabi、Ledger Live等。
PayDay Loader是windows特定的惡意應用程序,作為一個基于電子的應用程序來提供信息。它有一個反沙箱模塊,檢查與安全分析工具相關的常見進程名,如果檢測到任何進程名,則終止自身。
go0njxa分析了惡意軟件,發現它使用了一個混淆的功能,從谷歌Calendar鏈接檢索命令和控制(C2)服務器地址。
建立持久性是一個相當復雜的過程,它涉及在每次登錄時運行PowerShell腳本,它的作用是訪問隱藏在NTFS備用數據流(set .json:disk. VHD)中的虛擬硬盤(VHD),掛載它,并從新掛載的卷執行文件。
研究人員表示,PayDay Loader包括一個NodeJS竊取模塊,可以將加密貨幣錢包數據泄露到C2。總的來說,它可以從76個錢包和桌面應用程序中竊取數據。
g0njxa報告中的另一個亮點是在Windows惡意軟件構建中使用代碼簽名證書。研究人員表示,“Dark Partners”威脅者很可能購買了這些證書。目前,發現的證書沒有一個是有效的,這暫時阻止了惡意活動。
研究人員在他們的報告中包含了分析樣本(PayDay Loader和Poseidon Stealer)的廣泛妥協指標列表,以及登陸頁面的近250個域名。
gonnjxa在網絡犯罪團伙中很有名,因為該研究人員正在追蹤竊取加密貨幣錢包的網絡犯罪分子。其中一個特別的團伙是“Crazy Evil”,他們負責多個涉及在社交媒體平臺上進行復雜的社會工程學活動以吸引受害者。
參考及來源:https://www.bleepingcomputer.com/news/security/dark-partners-cybercrime-gang-fuels-large-scale-crypto-heists/
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
