Otkrivena je nova kampanja cyber napada, nazvana “Fake DeepSeek Campaign”, koja cilja korisnike macOS-a . DeepSeek, AI chatbot razvijen od strane Kine, brzo je stekao popularnost širom svijeta.
Hakeri su počeli da iskorištavaju njegovu popularnost za isporuku malicioznog softvera i zarazu računara korisnika.
Ova kampanja je dizajnirana da distribuiše Poseidon Stealer, sofisticirani komad malicioznog softvera za eksfiltraciju osjetljivih podataka iz narušenih sistema.
Istraživači sigurnosti sa X ručkom @g0njxa identifikovali su kampanju koja koristi lažne aplikacije i maliciozna opterećenja kako bi se infiltrirala u macOS okruženja.
Lažna DeepSeek kampanja maskira se kao legitiman softver, varajući korisnike da preuzmu i izvrše maliciozne datoteke.
Maliciozni softver se distribuiše putem veza za krađu identiteta i ugroženih web stranica, a napadači iskorištavaju povjerenje korisnika u naizgled legitimnim preuzimanjima.
Nakon izvršenja, maliciozni softver isporučuje Poseidon Stealer, koji je sposoban prikupiti širok spektar osjetljivih informacija, uključujući:
- Akreditivi pohranjeni u pretraživaču
- Novčanici za kriptovalute
- Informacije o sistemu
- Keylogging podaci
Mehanizam isporuke malicioznog softvera
Kampanja koristi uzorak fajla koji se hostuje na malicioznim serverima, kao što je onaj identifikovan sa hešom ffef9d958bcc1d869639b785f36dfa035cdd41e35c1417b4e9895dc6a2d9017f.
Ovaj fajl je analiziran i utvrđeno je da je trojanizirana aplikacija koja izvršava Poseidon Stealer nakon pokretanja.
Maliciozni softver komunicira sa svojim serverom za komandu i kontrolu (C2) koji se nalazi na 65.20.101.215/p2p kako bi primao komande i eksfiltrirao ukradene podatke.
Indikatori ponašanja
Prema izvještajima analize sandbox-a , maliciozni softver pokazuje sljedeće ponašanje:
- Kreira mehanizme postojanosti modifikovanjem datoteka macOS liste.
- Iskorištava legitimne sistemske procese kako bi izbjegao otkrivanje.
- Uspostavlja šifrovanu komunikaciju sa svojim C2 serverom za prenos podataka.
Ovaj pseudokod ilustruje kako Posejdon uspostavlja postojanost na macOS sistemima. Ovaj kod kreira plist datoteku agenta za pokretanje u korisničkom direktoriju ~/Library/LaunchAgents, osiguravajući da se maliciozni softver izvršava svaki put kada se sistem pokrene.
Indikatori kompromisa (IoCs)
Sigurnosni timovi bi trebali pratiti sljedeće IoC:
- Mrežni promet na 65.20.101.215/p2p
- Prisustvo sumnjivih plist datoteka u ~/Library/LaunchAgents
- Izvršavanje nepoznatih binarnih datoteka s povišenim privilegijama
Lažna DeepSeek kampanja naglašava rastuću sofisticiranost sajber napada usmjerenih na korisnike macOS-a, koji se često smatraju manje ranjivima od svojih Windows kolega.
Koristeći napredne tehnike poput mehanizama postojanosti i šifrovane C2 komunikacije, napadači imaju za cilj ukrasti kritične podatke dok izbjegavaju otkrivanje.
Izvor: CyberSecurityNews