В январе 2025 года исследователи из Unit 42 обнаружили серию атак, связанных с распространением DarkCloud Stealer. Эти атаки использовали AutoIt для обхода защиты и файлообменный сервер для размещения вредоносного ПО. Он зашивает конфиденциальные данные и устанавливает командно-управляющие соединения, что подчеркивает необходимость более глубокого обнаружения и анализа.
Описание
DarkCloud использует сложные многоступенчатые полезные нагрузки и обфусцированные сценарии AutoIt, что затрудняет его обнаружение традиционными методами.
Автор угрозы DarkCloud Stealer начал рекламировать ее на хакерских форумах с начала 2023 года. Злоумышленники, распространяющие вирус, нацеливаются прежде всего на правительственные организации. DarkCloud Stealer был замечен в атаках на машины в Польше с начала 2025 года, представляя угрозу конфиденциальным данным пользователей, таким как информация о кредитных картах.
DarkCloud Stealer распространяется через фишинговые кампании по электронной почте и по-прежнему находится в стадии активной разработки. В январе и феврале 2025 года были обнаружены новые образцы вредоносной программы. DarkCloud Stealer захватывает данные шаг за шагом, начиная с фишингового электронного письма и заканчивая установкой вредоносной полезной нагрузки через многоступенчатый процесс.
Индикаторы компрометации
URLs
- https://files.catbox.moe/olyfi3.001
SHA256
- 1269c968258999930b573682699fe72de72d96401e3beb314ae91baf0e0e49e8
- 30738450f69c3de74971368192a4a647e4ed9c658f076459e42683b110baf371
- 9940de30f3930cf0d0e9e9c8769148594240d11242fcd6c9dd9e9f572f68ac01
- bf3b43f5e4398ac810f005200519e096349b2237587d920d3c9b83525bb6bafc
