Хакеры используют Spotify и Chess.com для управления вредоносом
2 мин
99
3
Группа компаний «Солар» сообщила, что хакеры начали использовать Spotify и Chess.com для управления вредоносом. Нестандартная схема оказалась для злоумышленников довольно эффективной. Вредоносное ПО похищает учётные данные и информацию об онлайн-кошельках.
Злоумышленники применяют метод Dead Drop Resolver, суть которого заключается в маскировке информации о серверах управления вредоносом не в самой программе, а в данных аккаунтов на публичных платформах. Вирус из заражённой инфраструктуры обращается не к подозрительному IP-адресу, а к популярному легальному ресурсу, в частности Spotify или Chess.com. Такая механика серьёзно усложняет выявление атаки и её блокировку. Эксперты рекомендуют службам информационной безопасности компаний тщательно проверять запросы к Spotify и Chess.com из корпоративной сети.
Ранее «Солар» уже фиксировал координацию кибератак таким методом через Steam, YouTube и другие популярные платформы. Злоумышленники используют отработанную технологию и просто меняют площадки.
Сначала внимание исследователей своим необычным способом получения сервера управления привлёк один образец. Речь идёт о MaskGram Stealer — вредоносе для кражи учётных данных и информации браузеров и кошельков. Он обладает широким покрытием приложений и функцией загрузки дополнительных модулей. Помимо паролей, стилер крадёт информацию об операционной системе пользователя, список установленных приложений, запущенные процессы, данные браузера. Вредоносное ПО собирает информацию из почтовых клиентов, мессенджеров, VPN-программ и софта для удалённого управления, игровых клиентов, а также может делать скриншоты с экрана. В дополнение вредоснос содержит элементы противодействия наблюдению и может получать дополнительные модули с серверов управления.
Злоумышленники распространяют вредонос через социальную инженерию. Хакеры продвигают его как платное ПО для массовой проверки логинов и паролей по скомпрометированным базам. Иногда его также выдают за взломанные версии платного программного обеспечения. Так киберпреступники расширяют аудиторию и повышают вероятность, что кто-то запустит вредонос. По наблюдениям экспертов, вредонос используется как минимум с середины 2025 года и продолжает активно применяться сейчас.
