Лаборатория Cyble Research and Intelligence Lab (CRIL) обнаружила фишинговый сайт, который выдает себя за поставщика VPN-услуг. Этот сайт нацелен на пользователей, которые загружают приложения VPN для операционных систем Windows, Linux и macOS.
Cheana Stealer
Злоумышленники создали отдельные версии кражи для каждой из этих платформ, особое внимание уделяя криптовалютным браузерным расширениям, криптокошелькам, сохраненным паролям и другим важным данным. Они также связаны с Telegram-каналом, имеющим более 54 000 подписчиков, и обнаружено, что фишинговый сайт менял регистраторов несколько раз, последнее изменение произошло в августе 2024 года.
Злоумышленники обманывают пользователей, имитируя известные бренды и создавая ложное ощущение легитимности. Они распространяют вредоносное программное обеспечение, убеждая пользователей загружать его, используя доверие к знакомым брендам. Этот фишинговый сайт, имитирующий сервис «WarpVPN», предлагает детальные инструкции по установке для каждой платформы, после чего вредоносный файл извлекает конфиденциальные данные с компьютера жертвы. Фишинговый сайт связан с Telegram-каналом, который играет важную роль в распространении вредоносного контента. Кампания использует механизмы обманных тактик, чтобы увеличить свою аудиторию.
Подозревается, что изначально злоумышленники предлагали легитимные услуги и с течением времени воспользовались завоеванным доверием, чтобы распространить вредоносное ПО. Доказательства этого предоставляет соцсеть Telegram, где в 2021 году была добавлена ссылка на фишинговый сайт и где TA предлагали бесплатные услуги VPN. Канал в соцсети неоднократно менял свой профиль. Кроме того, фишинговый домен был добавлен в его биографию в 2021 году.
Обнаружение и расследование этой кампании позволили выделить новый тип угрозы под названием «Cheana Stealer», исходя из имени C&C-сервера и ключевых строк в коде. Он является серьезной опасностью для пользователей, поскольку крадет их личные данные и конфиденциальную информацию. CRIL поблагодарила сообщество за помощь в обнаружении и борьбе с этой угрозой, и предостерегла пользователей быть осторожными и предпринимать предосторожностные меры при загрузке приложений VPN и оценке их подлинности.
Indicators of Compromise
Domains
- warpvpn.net
URLs
- https://ganache.live
SHA256
- 3ef838502663c167f5c502585e810ffae3e03152b3f82544b813389c19a33dce
- 48964c11fcbefd6508164239866c94b55ca2798e9745671c37447ad0a6f3e1c4
- 6a68e95ae67aa8c61bd74ecf5f57f98fbdc0bbe0489ae71b7c8732edf49ac3a9
- 70f08497d7a9e6a8e5f2dd3683a20563d20668e1c78df636ff1e36a014c9d493
- ac4aeab3952f6ca960cbd48c3123f09a68f50818f9bdf35c9d811570893fa102
- acf807def82c4b56752a9fa9b081dbb37ba9cc9f6e1c522568ff502b6b49b6db
- ba8058b704a55e50c24383a765fd74b38d7dbbf8546c4f179266c265403174b8
- c044b1a36249f6fe7219e6c48270d9927bf359110ff3583129dcbdff809f2d2d
- d3ece8616d0dd8244666af574cc2475d947180ed240f49b1a6e61443a896f65d
