Эксперты Cofense Intelligence сообщают о серии целевых фишинговых кампаний, проводимых группой вредоносных акторов Lone None. Злоумышленники рассылают письма под видом юридических фирм, требуя удалить контент, нарушающий авторские права, и внедряют новые версии вредоносных программ, включая совершенно новый стилер, получивший название Lone None Stealer. Особенностью текущей волны атак стало использование профиля бота в Telegram для доставки полезной нагрузки и усложнение методов обфускации кода.
Описание
Кампания, отслеживаемая с ноября 2024 года, характеризуется высокой адаптивностью. Злоумышленники рассылают письма на множестве языков, включая английский, французский, немецкий, корейский, китайский и тайский. Текст писем, вероятно, генерируется с использованием машинного перевода или инструментов искусственного интеллекта, что позволяет быстро создавать новые шаблоны. Сообщения имитируют уведомления о нарушении авторских прав от различных юридических компаний по всему миру и содержат ссылки на вредоносные архивы.
Новым ключевым элементом атаки стал стилер Lone None Stealer, также известный как PXA Stealer, который фокусируется на краже криптовалюты путем подмены содержимого буфера обмена. С июня 2025 года этот стилер был обнаружен в 29% всех отчетов об активных угрозах, связанных с Pure Logs Stealer. Когда пользователь копирует адрес криптовалютного кошелька, вредоносная программа незаметно заменяет его на адрес, контролируемый злоумышленниками, и уведомляет их через бота в Telegram о успешной подмене. В ходе анализа были выявлены кошельки для таких криптовалют, как Bitcoin, Ethereum, LiteCoin, DogeCoin и других.
Цепочка атаки демонстрирует растущую изощренность группировки. Первоначальная полезная нагрузка доставляется через серию редиректов с использованием сервисов коротких ссылок, а архивные файлы размещаются на бесплатных файлообменных платформах, таких как Dropbox и MediaFire. Для маскировки архивы содержат легитимные документы PDF, Word и Excel вместе со вредоносными файлами. Важной тактикой стало злоупотребление легитимными программами, такими как Haihaisoft PDF Reader, в который внедряется вредоносная DLL-библиотека, выступающая в роли установщика Python.
После запуска вредоносная DLL с помощью системной утилиты certutil.exe раскодирует архив, замаскированный под PDF-файл, который затем извлекается с помощью исполняемого файла WinRAR, также находящегося в архиве. Установщик развертывает Python в каталог C:\Users\Public\Windows и запускает вредоносный скрипт. Для обеспечения устойчивости в системе добавляется запись в реестр Windows для автозапуска скрипта. Далее скрипт обращается к профилю бота в Telegram, в описании которого содержится часть URL-адреса для загрузки следующего этапа атаки. Этот метод хранения payload в открытом тексте в биографии Telegram-бота является новым для подобных кампаний.
Финальные полезные нагрузки, загружаемые с paste-сайтов, представляют собой обфусцированные скрипты на Python, которые, в свою очередь, загружают и исполняют Lone None Stealer и Pure Logs Stealer. Скрипты используют многоуровневое кодирование и шифрование для усложнения анализа. Поведение payload остается consistent между образцами, что позволяет предположить, что основной целью обфускации является изменение хэш-сумм файлов для обхода автоматизированных песочниц.
Эволюция тактик, техник и процедур группировки Lone None показывает переход от доставки нескольких удаленных троянов к более сфокусированным атакам с использованием стилеров. В более ранних образцах, отслеживаемых с сентября 2024 года, наблюдалась доставка таких угроз, как XWorm RAT, Xeno RAT и DuckTail Stealer вместе с ранними версиями Pure Logs Stealer. Текущая кампания отказалась от использования RAT, возможно, из-за того, что последние версии Pure Logs Stealer сами получили возможности удаленного доступа.
С точки зрения защиты, интересно отметить, что mientras полезные нагрузки вредоносного программного обеспечения стали значительно сложнее, фишинговые письма остались практически без изменений. Использование целевых писем, в которых упоминаются реальные Facebook-страницы жертв и имитируются уведомления от юридических фирм, по-видимому, остается эффективной тактикой для злоумышленников.
Для обнаружения инцидента специалистам по безопасности рекомендуется проверить систему на наличие установленной версии Python в каталоге C:\Users\Public\Windows, где интерпретатор может быть переименован в svchost.exe, а также на наличие задачи автозапуска в реестре Windows, связанной с запуском скрипта Python с несоответствующим расширением файла. Понимание этих методов позволяет организациям усиливать мониторинг и улучшать меры по обнаружению подобных целевых атак.
Индикаторы компрометации
URLs
- https://otx.alienvault.com/indicator/url/http:%2F%2Fapi.telegram.org%2Fbot7414494371:AAFbG9iefAZBntqLN0drlccfKAlGlq7KPo%2FsendMessage%3Fchat_id%3D1916486798&text%3D
Bitcoin
- 1DPguuHEophw6rvPZZkjBA3d8Z9ntCqm1L
- bc1qaa9vghummhrtchemtnnylml6ap2g9zswqeadgt
BitcoinCash
- qqaffr86936tqskawz2xze5q3l04tre7uulwu0cqn5
Avalanche
- X-avax13hlekjw5nqpl3hp3m5rl3ff4gpssf90anef0wt
Dash
- Xg7MoYLMUtzt9Eo88mJZWvWDoZZXPznaGX
DogeCoin
- DH72ZiUDLNu25p6TetQ5QFn5SEmV3MyKkq
Ethereum
- 0xd38c3fc36ee1d0f4c4ddaeebb72e5ce2d5e7646c
Kava
- kava1szpwvzhehgxtuxsfyp9r97m5fcu5805dqzr7ep
LiteCoin
- LKWGDHLLfzMRXrQm4aXNDvqefuTVQKErq2
PrimeCoin
- AJkLwhs46y8oBjBE6ELttp43DZ5pDYxCgA
Qtum
- QgqaGFgQ8tYJTx5rbd58RkY3vNBqXphoZc
Tron
- TMxdsJ9G2urZ9wf9nSKRVpwT8qtu5ApMMu
Ripple
- rNxp4h8apvRis6mJf9Sh8C6iRxfrDWN7AV
Tezos
- tz2ASUGoBPejTDFuRDHMQLTd2rS4Z3aFw8Xw
Solana
- GQwKEEi49iKywE8ycnFsxRhxJTVf6YsoJb2vAFigc8G
LiteCoin
- LKWGDHLLfzMRXrQm4aXNDvqefuTVQKErq2
Qtum
- QgqaGFgQ8tYJTx5rbd58RkY3vNBqXphoZc
Tron
- TMxdsJ9G2urZ9wf9nSKRVpwT8qtu5ApMMu
Ripple
- rNxp4h8apvRis6mJf9Sh8C6iRxfrDWN7AV
Tezos
- tz2ASUGoBPejTDFuRDHMQLTd2rS4Z3aFw8Xw
Solana
- GQwKEEi49iKywE8ycnFsxRhxJTVf6YsoJb2vAFigc8G
