Исследователи из компании HiddenLayer Для просмотра ссылки Войди или Зарегистрируйся на платформе Hugging Face вредоносный репозиторий Для просмотра ссылки Войди или Зарегистрируйся, который выдавал себя за легитимный проект Для просмотра ссылки Войди или Зарегистрируйся, но на деле распространял инфостилер для Windows. До удаления репозиторий успел подняться на первое место в трендах платформы, и его загрузили около 244 000 раз.
По словам исследователей, вредоносный проект выглядел правдоподобно, так как атакующие практически полностью скопировали описание настоящего Privacy Filter, но вместе с «моделью» распространялся файл loader.py.
Внешне скрипт выглядел как обычный код, связанный с ИИ, но он отключал SSL-проверку, декодировал base64-строку с адресом внешнего ресурса и загружал JSON-пейлоад с PowerShell-командой. Та запускалась в скрытом окне и скачивала batch-файл start.bat. Затем скрипт повышал привилегии, добавлял малварь в исключения Microsoft Defender и загружал финальный пейлоад под названием sefirah (написанный на Rust инфостилер).
Малварь собирала данные из Chromium- и Gecko-браузеров, включая cookie, сохраненные пароли, ключи шифрования и токены сессий. Также стилер интересовали токены Discord, криптокошельки, SSH-, FTP- и VPN-конфигурации, файлы FileZilla, seed-фразы и другие локальные секреты. Вдобавок вредонос делал скриншоты всех подключенных мониторов и собирал информацию о системе.
Все похищенные таким образом данные архивировались и отправлялись на управляющий сервер — recargapopular[.]com.
В HiddenLayer отдельно отмечают, что вредонос обладает серьезным набором функций, связанных с антианализом. Так, стилер проверял наличие виртуальных машин, песочниц, отладчиков и исследовательских инструментов, стараясь избежать обнаружения.
Реальные масштабы этой вредоносной кампании пока неясны. Исследователи полагают, что значительная часть из 667 лайков, полученных репозиторием, принадлежала автоматически созданным аккаунтам, а счетчик загрузок мог быть искусственно накручен.
Анализ инфраструктуры атакующих привел специалистов и к другим вредоносным репозиториям с тем же загрузчиком. Кроме того, исследователи обнаружили пересечения с вредоносной npm-кампанией, через которую ранее распространялся вредонос WinOS 4.0.
Пользователям, которые скачивали файлы из фальшивого репозитория, рекомендуется полностью переустановить систему, сменить все учетные данные и seed-фразы, создать новые криптокошельки, а также завершить все активные сессии в браузерах.
Источник: Для просмотра ссылки Войдиили Зарегистрируйся
По словам исследователей, вредоносный проект выглядел правдоподобно, так как атакующие практически полностью скопировали описание настоящего Privacy Filter, но вместе с «моделью» распространялся файл loader.py.
Внешне скрипт выглядел как обычный код, связанный с ИИ, но он отключал SSL-проверку, декодировал base64-строку с адресом внешнего ресурса и загружал JSON-пейлоад с PowerShell-командой. Та запускалась в скрытом окне и скачивала batch-файл start.bat. Затем скрипт повышал привилегии, добавлял малварь в исключения Microsoft Defender и загружал финальный пейлоад под названием sefirah (написанный на Rust инфостилер).
Малварь собирала данные из Chromium- и Gecko-браузеров, включая cookie, сохраненные пароли, ключи шифрования и токены сессий. Также стилер интересовали токены Discord, криптокошельки, SSH-, FTP- и VPN-конфигурации, файлы FileZilla, seed-фразы и другие локальные секреты. Вдобавок вредонос делал скриншоты всех подключенных мониторов и собирал информацию о системе.
Все похищенные таким образом данные архивировались и отправлялись на управляющий сервер — recargapopular[.]com.
В HiddenLayer отдельно отмечают, что вредонос обладает серьезным набором функций, связанных с антианализом. Так, стилер проверял наличие виртуальных машин, песочниц, отладчиков и исследовательских инструментов, стараясь избежать обнаружения.
Реальные масштабы этой вредоносной кампании пока неясны. Исследователи полагают, что значительная часть из 667 лайков, полученных репозиторием, принадлежала автоматически созданным аккаунтам, а счетчик загрузок мог быть искусственно накручен.
Анализ инфраструктуры атакующих привел специалистов и к другим вредоносным репозиториям с тем же загрузчиком. Кроме того, исследователи обнаружили пересечения с вредоносной npm-кампанией, через которую ранее распространялся вредонос WinOS 4.0.
Пользователям, которые скачивали файлы из фальшивого репозитория, рекомендуется полностью переустановить систему, сменить все учетные данные и seed-фразы, создать новые криптокошельки, а также завершить все активные сессии в браузерах.
Источник: Для просмотра ссылки Войди