В 2025 году киберпреступная группа Meowsterio, специализирующаяся на краже криптовалют, возобновила свою активность, используя изощренные методы социальной инженерии и уязвимости технологии ClickOnce для обхода систем безопасности. Группа, ранее связанная с печально известным трафферским коллективом Marko Polo, вновь вышла на сцену, заявив о миллионных убытках, нанесенных жертвам.
Описание
Meowsterio действует с 2023 года, а в апреле 2025-го объявила о своем возвращении. По данным исследователей, группа уже заработала около 80 тысяч долларов, причем крупнейшая кража - 62 тысячи долларов - была совершена у пользователя MacOS из Испании. Для привлечения жертв злоумышленники создают фальшивые проекты, имитирующие популярные криптовалютные и игровые платформы, такие как Legends of Venari, Degenheim и Aipocalypto. Каждый из этих сайтов предлагает загрузку вредоносного ПО, замаскированного под легитимное приложение.
Особенностью атак Meowsterio является использование технологии ClickOnce, разработанной Microsoft для упрощения развертывания приложений. Злоумышленники модифицируют манифесты DLL, чтобы загружать вредоносный код, обходя защиту SmartScreen. Это позволяет им запускать вредоносные файлы, даже если они имеют самоподписанные сертификаты и помечены как недоверенные.
На Windows-устройствах жертвы получают подписанные .exe-файлы, которые устанавливают инфостилеры, такие как StealC и Rhadamanthys, а также трояны для удаленного доступа. На MacOS распространяется Atomic Stealer через поддельные DMG-установщики. Для обеспечения персистентности группа использует XWorm, что позволяет злоумышленникам сохранять контроль над зараженными системами и развертывать дополнительные вредоносные модули.
Кроме того, Meowsterio активно злоупотребляет сертификатами кодвой подписи, приобретая EV-сертификаты у специализированных продавцов. Изначально группа использовала сертификат от SSL.com, выданный Jianhe Network Technology, а позже перешла на GlobalSign GCC R45, оформленный на HIGHNOR INDIA PRIVATE LIMITED. Оба сертификата были отозваны, но это не остановило преступников.
Исследователи обнаружили несколько доменов, используемых группой, включая vidorium[.]com, drakthos[.]com и aidesolation[.]com, а также IP-адрес 185.9.145.249, принадлежащий bulletproof-хостингу ServHost. Несмотря на попытки скрыть свою активность (логи периодически удаляются), исследователи уже зафиксировала около 650 заражений по всему миру.
Эксперты по кибербезопасности предупреждают пользователей о необходимости соблюдать осторожность при загрузке файлов с подозрительных сайтов, особенно если они предлагают "обязательные обновления" или требуют ввода личных данных. Рекомендуется использовать двухфакторную аутентификацию для криптокошельков и регулярно проверять системы на наличие вредоносного ПО.
Группа Meowsterio демонстрирует, что даже после временного затишья киберпреступные коллективы могут вернуться с новыми методами атак. Их тактика подчеркивает важность постоянного обновления защитных механизмов и обучения пользователей основам цифровой гигиены.
Индикаторы компрометации
IPv4
- 185.9.145.249
IPv4 Port Combinations
- 178.250.188.57:38493
- 185.39.206.236:443
Domains
- aidesolation.com
- drakthos.com
- drakthosgame.com
- drakthosplay.com
- legendsofvelora.com
- spalaestacada.com
- us07web-zoom.com
- vidorium.app
- vidorium.com
- vidorium.io
- vidoriumapp.com
- vidoriumapp.io
URLs
- https://185.39.206.236/gateway/aoaowmat.s0srx
- https://spalaestacada.com/macshare.php?call=odrak
- https://spalaestacada.com/macshare.php?call=osai
- https://spalaestacada.com/macshare.php?call=ovel
- https://spalaestacada.com/macshare.php?call=ovid
SHA256
- 0de981cd10a04c3a840b269bf6920ff1cf4e4c3f373b858fd78df35c965f3434
- 167b15f7ab3ebf4a5a764472fc67683d81f6816c908c082bb7df9ce93a0a4d24
- 1dd46810ab879a7b38bb8d4b467267a6930ddded0e3a3f8aeb5e7bdfd94e62f3
- 29cba06afa9a9376c3137d3acdbea7792df1309c6cc9feb61d5a6c5976ca35a3
- 4a6ae108cb5e4f038865e8ff7808e258b29124a74978f987683c7526cfc96132
- 531a0c9df75191b70a6de93cc4ac19cdbacbb2fd7fb69ffbe0d5780fe857216b
- 5eebfeb00446941d5ee43ae13664136d661df35c56a882fa798c493477e2a085
- 65c4b56197458a7cce0daf9a4c7991b6f202367294c87d4c4a024e2dc64659ce
- 687ec8253735f213907f040bca156316634024934eb2df84993fdf5abec268a5
- 6d1af826b565460781c6bd8111d01b1cba967ceaf9bfa9a15d924fb6e6f8ac64
- 8d8b40e87d3011de5b33103df2ed4ec81458b2a2f8807fbb7ffdbc351c7c7b5e
- 96fd0900a2bf751559dcc6327c15028131c674bf6e4fb7656d762f66897d1211
- a8a4ea8476b9a10bc8cbbd7b35f55e48832d551ae516e8f1fb122dd197a3c8a7
- b62f8fbb039021d7da59c6ca0b6d2df79f83b2044bef9fa0460f9548567304f1
- b7d7661d4785b27d94b1cee7dd26045708017824153c14132f8ddebb4c07c975
- bd207c4954bdf8276d2645a6e24e7ccd437e7da1f857c33bd6b3e6580dbefdcd
