В сфере кибербезопасности наблюдается тревожная тенденция, когда злоумышленники эксплуатируют популярность легитимных проектов с открытым исходным кодом для двойного мошенничества. Речь идет не только о краже данных, но и о прямом вымогательстве денег у пользователей под предлогом продажи бесплатного ПО. Недавно аналитики угроз обнаружили комплексную атаку, в которой вредоносная кампания маскируется под официальный инструмент локального развертывания нашумевшего проекта OpenClaw. Эта атака представляет особую опасность, поскольку сочетает в себе технически изощренный троянский модуль и откровенное финансовое мошенничество, нацеливаясь как на корпоративные активы, так и на кошельки обычных пользователей.
Описание
Злоумышленники активно используют методы поисковой оптимизации (SEO), чтобы продвигать фишинговые сайты, имитирующие официальные ресурсы популярного ПО. В данном случае была создана копия сайта проекта OpenClaw. Пользователи, ищущие способ установки этого инструмента, попадают на поддельную страницу, где им предлагают скачать вредоносный установочный пакет. Этот файл, размером более 40 мегабайт, упакован с помощью установщика Inno Setup, что придает ему вид легитимного программного обеспечения.
Внутри пакета скрывается многослойная вредоносная архитектура. Ключевым компонентом является DLL-библиотека, выполняющая роль загрузчика. Для усложнения анализа авторы применили несколько техник обфускации, включая рандомизацию имен экспортируемых функций и виртуализацию кода. Это значительно затрудняет статический анализ и обнаружение по сигнатурам. Основная функция этой библиотеки - расшифровка и выполнение второго этапа полезной нагрузки, который хранится в отдельном зашифрованном файле в той же директории. Для дешифровки используется кастомный алгоритм на основе операции XOR.
Что делает эту атаку особенно примечательной с технической точки зрения, так это механизм выполнения shellcode. Вместо классического внедрения в чужие процессы или создания удаленных потоков, зловред использует малораспространенный механизм пользовательского режима Windows - волокна (Fiber). Текущий поток преобразуется в волокно, после чего создается новое волокно для выполнения расшифрованного шелл-кода. Этот нестандартный подход позволяет обойти некоторые системы мониторинга процессов, ориентированные на классические методы инжекции.
Расшифрованный шелл-код, в свою очередь, выступает в роли промежуточного загрузчика. Он содержит еще один уровень самодельного шифрования и выполняет финальную стадию: распаковывает в памяти с помощью API-функции "RtlDecompressBuffer" и вручную мапирует итоговый вредоносный модуль. Именно эта полезная нагрузка устанавливает связь с командным сервером злоумышленников по домену dcleb[.]com. Согласно тактике, техникам и процедурам, описанным в фреймворке MITRE ATT&CK, атака охватывает несколько этапов: выполнение через действия пользователя, закрепление в системе (persistence) путем создания службы, обход защиты с помощью инжекции кода и обфускации, а также exfiltration данных через C2-канал.
Параллельно с троянской активностью жертве подсовывается и мошенническая схема. Второй исполняемый файл в пакете выдает себя за официальный локальный установщик OpenClaw, но на самом деле является подделкой. OpenClaw - это проект с открытым исходным кодом, распространяемый бесплатно. Однако мошенники упаковывают его в свой установщик с требованием оплаты за "лицензию" или "премиум-доступ". Таким образом, даже бдительный пользователь, который не заметил фоновой троянской активности, может стать жертвой финансового обмана, заплатив за то, что по своей сути является свободным программным обеспечением. Эксперты компании Rising, специализирующейся на информационной безопасности, обнаружили эту комплексную угрозу и проанализировали ее механику.
Последствия успешного проникновения такого образца могут быть тяжелыми. Вредоносный модуль, идентифицированный как часть семейства "Серебряная лисица" (SilverFox), способен красть учетные данные, файлы cookies, данные криптокошельков и другую конфиденциальную информацию с зараженного компьютера. Для бизнеса это грозит утечкой коммерческой тайны, учетных записей сотрудников и доступов к корпоративным системам. Для обычного пользователя - потерей средств с банковских счетов или криптовалютных кошельков, а также компрометацией аккаунтов в социальных сетях и различных сервисах.
Для защиты от подобных угроз необходим многоуровневый подход. Во-первых, критически важно загружать программное обеспечение, особенно с открытым исходным кодом, исключительно с официальных сайтов проектов или проверенных репозиториев. Следует игнорировать сайты, выдающие себя за официальные, но предлагающие "установщики" или "сборки" с требованием оплаты. Во-вторых, использование современных решений класса EDR позволяет отслеживать подозрительное поведение на уровне процессов и сети, даже если вредоносный код использует сложную обфускацию. Такие системы могут зафиксировать аномальные сетевые подключения к неизвестным доменам или нестандартные механизмы выполнения кода, подобные использованию волокон. В-третьих, регулярное обновление операционных систем и прикладного программного обеспечения, наряду с использованием антивирусных решений с актуальными базами сигнатур и эвристическими механизмами, создает дополнительный барьер на пути подобных комбинированных атак. Данный инцидент наглядно демонстрирует, что современные киберугрозы все чаще носят гибридный характер, атакующие как технические уязвимости систем, так и психологию пользователей, что требует от специалистов по безопасности и обычных людей повышенной бдительности и комплексных мер защиты.
Индикаторы компрометации
Domains
- ai-openclaw.com.cn
- dcleb.com
- www.nmysq.top
MD5
- 9c811bc7bfc124b3476cd11bb1834504
- cc3646bd33d2a50bc605678663fb9698
- d01848170c92af6c9ad07b97489f11b3
- f686f66e3023d230ae27af4e0271d540
