Hakeri Dark Partner koriste lažnu vještačku inteligenciju, VPN i kripto stranice za napade na korisnike macOS-a i Windowsa

Istraživači sajber sigurnosti identifikovali su sofisticiranu novu kampanju usmjerenu na korisnike macOS-a i Windowsa putem pažljivo izrađenih lažnih web stranica koje imitiraju popularne alate vještačke inteligencije, VPN usluge i platforme za kriptovalute.

Hakeri koji djeluju pod nazivom “Dark Partner”, pokazali su alarmantan nivo sofisticiranosti u svojim taktikama socijalnog inženjeringa, iskorištavajući trenutni porast interesa za tehnologije vještačke inteligencije i kriptovaluta kako bi namamili nesuđene žrtve da preuzmu maliciozne softverske pakete.

Kampanja iskorištava rastuću popularnost alata i usluga zasnovanih na vještačkoj inteligenciji, stvarajući uvjerljive replike legitimnih web stranica koje nude ChatGPT alternative, VPN klijente i aplikacije za kripto novčanike .

Ove lažne stranice se često pojavljuju u rezultatima pretraživača i oglasima na društvenim mrežama, zajedno s profesionalnim izgledom, svjedočanstvima kupaca i detaljnim opisima funkcija koji odražavaju njihove legitimne pandane.

Napadači su uložili značajne resurse kako bi ove stranice izgledale autentično, uključujući važeće SSL certifikate i responzivne elemente dizajna koji besprijekorno funkcionišu na različitim uređajima i preglednicima.

Analitičar, g0njxa, primijetio je da mreža za distribuciju malicioznog softvera koristi višefazni proces zaraze osmišljen kako bi se zaobišle ​​tradicionalne sigurnosne mjere.

Početni korisni sadržaj isporučen putem ovih lažnih stranica izgleda kao legitimni instalacijski program, ali sadrži jako zamaskirani kod koji pokreće sekvencu kompromitiranja.

Maliciozni softver pokazuje mogućnosti rada na više platformi, s varijantama posebno prilagođenim za Windows i macOS okruženja, što ukazuje na dobro opremljen rad s namjenskim razvojnim timovima koji su upoznati sa složenošću svakog operativnog sistema.

Uticaj ove kampanje proteže se dalje od pojedinačnih korisnika i potencijalno ugrožava korporativne mreže, budući da se mnoge ciljane aplikacije uobičajeno koriste u poslovnim okruženjima.

Istraživači sigurnosti su primijetili slučajeve u kojima je maliciozni softver pokušao ukrasti kredencijale, informacije o kriptovalutnim novčanicima i osjetljive poslovne dokumente.

Čini se da su akteri prijetnji posebno zainteresovani za prikupljanje autentifikacijskih tokena i API ključeva koji bi mogli omogućiti trajan pristup uslugama u cloud-u i finansijskim platformama.

Geografska distribucija žrtava obuhvata više kontinenata, s koncentracijama u Sjevernoj Americi, Evropi i dijelovima Azije gdje je usvajanje kriptovaluta i korištenje alata vještačke inteligencije.

Napadači su pokazali prilagodljivost u ciljanju, prilagođavajući teme mamaca na osnovu regionalnih preferencija i trendovskih tehnologija.

Mehanizam infekcije i isporuka korisnog tereta

Maliciozni softver Dark Partner koristi sofisticirani višestepeni mehanizam infekcije koji počinje preuzimanjem onoga što izgleda kao legitimni instalacijski program aplikacije od strane žrtve s jedne od kompromitovanih lažnih web stranica .

Početni dropper, obično veličine od 15-25 MB, sadrži i legitimne komponente aplikacije i maliciozni kod kako bi se održao privid funkcionalnosti tokom izvršavanja njegovog sadržaja.

Nakon izvršavanja, instalacijski program vrši provjere okruženja kako bi utvrdio arhitekturu ciljnog sistema i verziju operativnog sistema.

Maliciozni softver koristi tehniku ​​poznatu kao “process hollowing” na Windows sistemima, gdje kreira suspendovani legitimni proces i zamjenjuje njegov sadržaj memorije malicioznim kodom .

Sljedeći pojednostavljeni isječak koda demonstrira tehniku ​​ubrizgavanja jezgra: –

import subprocess
import ctypes
from ctypes import wintypes

def hollow_process(target_path, payload):
    # Create suspended process
    process = subprocess.Popen(target_path, 
                              creationflags=0x00000004)  # CREATE_SUSPENDED

    # Allocate memory and inject payload
    kernel32 = ctypes.windll.kernel32
    allocated_mem = kernel32.VirtualAllocEx(
        process. Handle, None, len(payload), 
        0x3000, 0x40)  # MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE

    kernel32.WriteProcessMemory(
        process.handle, allocated_mem, payload, 
        len(payload), None)

Na macOS sistemima, maliciozni softver iskorištava strukture paketa aplikacija kako bi sakrio svoje komponente unutar naizgled legitimnih .app paketa.

Stvara perzistenciju putem LaunchAgents-a i mijenja sistemske postavke kako bi se osiguralo kontinuirano izvršavanje nakon ponovnog pokretanja sistema.

Komunikacija korisnog tereta koristi šifrovane kanale za komandovanje i kontrolu servera, primjenjujući algoritme za generisanje domena kako bi se održala povezanost čak i kada je primarna infrastruktura poremećena.

Ovaj sofisticirani pristup pokazuje posvećenost aktera prijetnji održavanju dugoročnog pristupa kompromitovanim sistemima, izbjegavajući pritom otkrivanje tradicionalnim alatima za sigurnosni nadzor .

Izvor: CyberSecurityNews