Фальшивый AI-помощник для трейдеров оказался прикрытием для сложной программы-похитителя данных

Рынок киберугроз продолжает подстраиваться под актуальные тренды, и очередным подтверждением этому стала вредоносная кампания, в которой злоумышленники использовали интерес к искусственному интеллекту в финансовой сфере. В ходе поиска угроз специалистам удалось выявить активность, где применялся уже знакомый загрузчик вредоносного ПО, но доставлял он совершенно новую угрозу - стилер под названием Needle Stealer, предназначенный для незаметного сбора конфиденциальных данных с заражённых устройств.

Описание

В качестве приманки атакующие использовали сайт, рекламирующий инструмент TradingClaw (торговая платформа по адресу tradingclaw[.]pro). Этот ресурс позиционировался как AI-помощник для TradingView - легитимной платформы, широко используемой трейдерами для анализа финансовых рынков. Важно подчеркнуть, что поддельный сайт не имеет никакого отношения ни к самому TradingView, ни к реальному стартапу tradingclaw[.]chat. Его единственная задача - заманить жертву на скачивание вредоносного файла.

Стилер Needle представляет собой модульную программу для кражи данных, написанную на языке Golang. Архитектура вредоносного ПО построена таким образом, что атакующие могут включать или отключать отдельные функции в зависимости от того, какие данные их интересуют в конкретной жертве. Согласно данным панели управления стилера, в его состав входит несколько ключевых компонентов.

Ядро стилера, именуемое Needle Core, отвечает за перехват данных, вводимых пользователем на веб-страницах, а также за манипуляции с буфером обмена. Модуль расширений предоставляет возможность управления браузером: перенаправление трафика, внедрение скриптов и подмена загружаемых файлов. Отдельно стоит выделить модули подмены кошельков: один нацелен на десктопные приложения для криптовалют, такие как Ledger, Trezor и Exodus, другой - на браузерные расширения вроде MetaMask и Coinbase, включая попытки извлечения сид-фраз. В панели управления также обнаружена пометка "скоро появится" для функции генерации поддельных страниц в стиле Google или Cloudflare, что указывает на планы атакующих по расширению арсенала фишинговых техник.

Анализ кампании показал, что распространение стилера не ограничивается исключительно фальшивым сайтом TradingClaw. Специалисты обнаружили, что тот же самый вредоносный код доставляется и другими типами вредоносного ПО, включая дропперы Amadey и GCleaner. Это свидетельствует о том, что злоумышленники активно используют модель "вредоносное ПО как услуга" или сотрудничают с несколькими партнёрами по распространению.

Сам сайт TradingClaw ведёт себя избирательно. В одних случаях посетителю показывается поддельная страница с предложением скачать инструмент, в других происходит перенаправление на совершенно безобидный сайт studypages.com. Подобная фильтрация является стандартной практикой для ухода от обнаружения поисковыми системами и системами анализа угроз - роботы видят легитимный контент, а реальные жертвы попадают на страницу с вредоносным файлом.

Если пользователь переходит к загрузке, ему предлагается скачать ZIP-архив, содержащий первый этап цепочки заражения. Как и в предыдущих кампаниях, атака опирается на технику перехвата DLL (динамически подключаемой библиотеки). Простыми словами, вредонос маскируется под файл, который легитимная программа загружает автоматически. Когда программа запускается, она по незнанию исполняет вредоносный код вместо настоящего.

В данном случае загрузчик DLL (под именем iviewers.dll) запускается первым и загружает вторую библиотеку, которая в конечном счёте внедряет стилер Needle в легитимный процесс Windows RegAsm.exe с помощью техники подмены образа процесса. Поскольку стилер написан на Golang, большинство его функций реализовано в пакете "ext".

После установки ядро стилера способно выполнять широкий спектр задач: делать снимки экрана, похищать данные браузера, включая историю, файлы cookie и сохранённые пароли, извлекать информацию из приложений вроде Telegram и FTP-клиентов, собирать файлы определённых типов, включая текстовые документы и данные криптовалютных кошельков.

Однако одна из наиболее тревожных возможностей Needle - способность устанавливать вредоносные расширения для браузеров. Это даёт атакующим мощный рычаг для контроля над браузером жертвы. В ходе анализа были выявлены несколько вариантов таких расширений с различной структурой файлов. За кулисами вредонос использует встроенные возможности Golang для распаковки скрытого ZIP-архива (обычно названного base.zip или meta.zip), содержащего файлы расширения и конфигурационный файл cfg.json. Именно этот файл является ключевым - он указывает, на какой сервер управления и контроля отправлять похищенные данные, какое расширение устанавливать и какие функции активировать.

Вредоносное расширение помещается в случайную папку по пути %LOCALAPPDATA%\Packages\Extensions и содержит три основных файла: popup.js, content.js и background.js. Примечательно, что проанализированные экземпляры расширений используют названия, ассоциирующиеся с продуктами Google.

Возможности расширения выходят далеко за рамки типичного вредоносного ПО. Оно подключается к удалённому серверу с использованием встроенного API-ключа и регулярно запрашивает инструкции, имеет механизм переключения на резервные домены в случае недоступности основного сервера. Расширение генерирует уникальный идентификатор для отслеживания заражённого пользователя, собирает полную историю просмотров и отправляет её на удалённый сервер. В реальном времени оно отслеживает посещаемые сайты и может применять управляемые атакующим правила перенаправления, подменять содержимое страниц, перехватывать загрузки и заменять легитимные файлы вредоносными, а также внедрять скрипты непосредственно в веб-страницы и показывать поддельные уведомления браузера.

Для связи с серверами управления и контроля стилер и его расширение используют несколько API-эндпоинтов: получение резервных серверов, отправка похищенных данных, приём инструкций по перенаправлениям и загрузкам, а также скачивание кода для внедрения в веб-страницы.

Эта кампания наглядно демонстрирует, как злоумышленники адаптируют классические схемы к текущему хайпу вокруг искусственного интеллекта. Выдача вредоносного инструмента за AI-помощника для трейдинга оказалась эффективной приманкой. Специалистам по информационной безопасности стоит учитывать эту тактику при мониторинге сетевой активности и проверке подозрительных установочных пакетов, особенно в финансовом секторе.