Jaringan luas situs unduhan AI, VPN, dan perangkat lunak crypto digunakan oleh aktor ancaman “mitra gelap” untuk melakukan serangan pencurian kripto di seluruh dunia.
Menyamer sebagai aplikasi populer, situs -situs yang dikloning ini memberikan infostealer dan pemuat malware Poseiden (MacOS) dan Lumma (Windows) seperti Payday. Malware ini digunakan untuk mencuri cryptocurrency dan data sensitif seperti informasi host, kredensial, kunci pribadi, atau cookie, yang kemungkinan dijual di pasar penjahat cyber.
Di Windows, aktor ancaman menggunakan sertifikat dari banyak perusahaan untuk menandatangani malware secara digital, salah satunya adalah loader gajian.
Salah satu infostealer yang dikirim ke mesin -mesin ini adalah Lumma Stealer, operasi malware yang Penegakan hukum terganggu Awal bulan ini dengan merebut ribuan domain dan bagian dari infrastrukturnya.
Di MacOS, aktor ancaman mengirimkan Poseidon Stealer, yang menggunakan peluncur DMG khusus, dan menargetkan browser web Firefox dan Chromium.
Folder dompet penargetan
Aktor ancaman di balik kampanye ini dijuluki “Mitra Gelap” oleh peneliti cybersecurity g0njxayang menggambarkan langkah -langkah infeksi dan menganalisis malware yang digunakan.
Dark Partners memberikan infostealer melalui situs web sederhana yang menyamar sebagai setidaknya 37 aplikasi dan alat, beberapa di antaranya menggunakan teknologi AI generatif untuk membuat ilustrasi, video, dan gambar artistik (misalnya Sora, Deepseek, Haiper, Runway, Leonardo, Creatify).
Daftar ini juga mencakup tujuh aplikasi crypto dan platform seperti TradingView, Metatrader 5, Ledger, Exodus, Koinly, AAVE, dan paus yang tidak biasa.
Situs -situs palsu ini juga mencakup layanan VPN seperti windscribe, stripe platform pemrosesan pembayaran, blender aplikasi pemodelan 3D, platform yang berfokus pada pembuat Tiktok Studio, solusi desktop jarak jauh Ultraviewer, dan Mac Clean – alat pembersih sistem untuk macOS.
Menurut G0NJXA, halaman arahan tidak memberikan tombol unduhan dan mereka semua berbagi bingkai “menunggu file untuk mengunduh” kustom, membuatnya mudah untuk menemukannya.
sumber: g0njxa
Sebelum memberikan malware, situs web memeriksa unduhan bot dan mengirim informasi pengguna ke titik akhir melalui permintaan pos.
Pada akhirnya, tindakan unduhan dipicu berdasarkan sistem operasi yang memintanya.
Peneliti mengatakan bahwa tuan rumah untuk panel pemuatan gajian (terinspirasi oleh Game eponymous) juga memiliki panel pencuri Poseidon pada Agustus 2024.
sumber: g0njxa
Khususnya, pencuri Poseidon yang terkenal itu dijual pada Juli 2024 dan dijual ke sumber yang tidak diketahui. Malware belum melihat perubahan muatan besar sejak penjualannya.
Kode AppleScript untuk Poseidon menunjukkan bahwa ia dapat mengumpulkan data browser, yang termasuk data ekstensi spesifik dari browser berbasis kromium seperti Chrome, Brave, Edge, Vivaldi, Opera, dan Firefox, dan dompet seperti Metamask.
Ini juga secara khusus menargetkan folder dompet untuk aplikasi desktop seperti Electrum, Coinomi, Keluaran, Atom, Wasabi, Ledger Live, dan lainnya.
Payday Loader adalah aplikasi jahat khusus Windows, yang dibangun sebagai aplikasi berbasis elektron untuk memberikan infostealer.
Ini memiliki modul anti-sandbox yang memeriksa nama proses umum yang terkait dengan alat analisis keamanan dan mengakhiri dirinya sendiri jika ada yang terdeteksi.
G0NJXA menganalisis malware dan menemukan bahwa ia menggunakan fungsi yang dikaburkan untuk mengambil alamat server perintah dan kontrol (C2) dari tautan Kalender Google.
Membangun kegigihan adalah proses yang agak kompleks yang melibatkan menjalankan skrip PowerShell di setiap logon, perannya adalah untuk mengakses hard disk hard disk (VHD) yang tersembunyi di dalam aliran data alternatif NTFS (pengaturan.json: disk.vhd), memasangnya, dan melaksanakan file dari volume yang baru dipasang.
“Setelah keterlambatan singkat untuk memastikan eksekusi, skrip membuka VHD, menghapus jejak muatan” – g0njxa
Payday Loader mencakup modul pencuri nodejs yang dapat mengeluarkan data dompet cryptocurrency ke C2, kata peneliti. Secara total, dapat mencuri data dari 76 dompet dan aplikasi desktop.
Sorotan lain dalam laporan G0NJXA adalah penggunaan sertifikat penandatanganan kode untuk windows malware builds. Peneliti mengatakan bahwa aktor ancaman mitra gelap kemungkinan membeli sertifikat.
Saat ini, tidak ada sertifikat yang ditemukan yang valid, menghentikan kampanye jahat sementara.
Peneliti yang termasuk dalam laporan mereka daftar indikator kompromi yang luas untuk sampel yang dianalisis (Payday Loader dan Poseidon Stealer) dan hampir 250 domain untuk halaman arahan.
G0NJXA terkenal di antara geng-geng penjahat dunia maya karena peneliti melacak aktor ancaman yang menguras dompet crytpocurrency. Satu geng khususnya Jahat gilayang bertanggung jawab atas berbagai kampanye yang melibatkan rekayasa sosial yang kompleks di atas platform media sosial untuk menarik para korban.
