Эксперты по кибербезопасности из Unit 42, исследовательского подразделения Palo Alto Networks, обнаружили мошеннический веб-сайт, имитирующий официальный сервис Disney+, который использовался для распространения вредоносного ПО Vidar. Этот опасный троян, известный как инфостилер (stealer), предназначен для кражи конфиденциальных данных пользователей, включая пароли, банковские реквизиты, файлы cookies и другую ценную информацию.
Описание
Аналитики выяснили, что злоумышленники применяли необычную тактику - маскировали вредоносную кампанию под коллаборацию с влиятельными лицами. Посетителям сайта предлагалось ознакомиться с неким "коммерческим предложением", для чего необходимо было нажать кнопку "View Full Brief". Однако вместо ожидаемого документа пользователи запускали сложную цепочку заражения, которая проходила в фоновом режиме, оставаясь незамеченной.
Заражение происходило в несколько этапов и включало использование различных методов обфускации и скриптовых технологий. Вначале зловредная нагрузка доставлялась через WebDAV-сервер, после чего активировалась серия скрытых действий: PowerShell-скрипты, Windows-ярлыки (LNK), VBS-сценарии и запуск замаскированного JavaScript. Особенностью данной атаки стало то, что одновременно с фоновым заражением жертве демонстрировался поддельный PDF-документ, создавая видимость легитимного процесса.
Vidar - это мощный инфостилер, который активно используется киберпреступными группами в последние годы. Он способен извлекать данные из браузеров, криптовалютных кошельков, мессенджеров и даже перехватывать скриншоты с зараженных устройств. Похищенная информация затем передается на серверы злоумышленников, которые могут продавать ее на теневых форумах или использовать для дальнейших атак, таких как фишинг или мошенничество.
По данным исследователей, вредоносная кампания начала свою активность 5 июля 2025 года, однако на момент публикации многие из использовавшихся URL-адресов уже неактивны. Тем не менее, один из доменов - disneyplus[.]business - все еще функционирует, что указывает на потенциальную угрозу повторных атак в будущем.
В условиях роста сложности кибератак пользователям и компаниям следует оставаться бдительными и применять многоуровневые механизмы защиты, включая обучение сотрудников и мониторинг подозрительной активности в сети.
Индикаторы компрометации
IPv4
- 89.23.107.148
- 89.23.113.207
Domains
- disneyplus.business
URLs
- http://89.23.113.207/Documents/Brief_Disney.lnk
- http://89.23.113.207/Documents/BriefDisney.lnk
- http://89.23.113.207/Documents/BriefDisneyFull.lnk
- http://89.23.113.207/Documents/Disney_Full_Brief.lnk
- http://89.23.113.207/Documents/Disney-Brief.lnk
- https://116.202.184.145/
- https://116.203.165.124/
- https://dansorium.gr/DarkCyan-fa1d3_Install.exe
- https://disneyplus.business/influencers-brief/?id=special
- https://disneyplus.business/influencers-brief/?id=youtube
- https://investtrad.com/Blue.mp4
- https://squeakiekids.com/Brief_Disney.pdf
- https://steamcommunity.com/profiles/76561199869630181
- https://steamcommunity.com/profiles/76561199874410755
- https://t.me/gt77cra
- https://t.me/l07tp
- https://www.frontier.net.pk/Brief_Disney.mp4
- https://www.localmais.com.br/disney.pdf
- https://www.localmais.com.br/Disney_Full_Brief.mp4
- https://www.localmais.com.br/PlacedExotic.exe
SHA256
- 0ce235a306f30edff98fcbe045e7566c8e537fef7f5d094800927e2b1d5edc65
- 46a24124fa27c54512dd02bee6432d4f063d16224926eff268b5625ee258e174
- 4d6ba4c3e0112fa8ad04153999086eecbe9ba33656a52c627a940650d086e877
- 4f8a50a9365d639c8384ec857c618a4f768b1ec6b677f5e79bd5d0eaaa579bcb
- 51cc8732ad424885e37b8d20f99faed9336e78a8a18590d61c64498eb4ec136e
- 65325bda1aa8c53cde9f59733462154d702d440daead034c5130a78adef31aee
- 660da1824c143de666903c2b3983df605a3494a9ddaa7b65919e1263b095e343
- 94d0a4eced73f3fabc66e650218274b35737bce94f6630b273487b1f3b13841e
- ad4931dedfb3060207f80e3e18df3fbef07a81dbe20dab667f5f14d2ac17136a
- e7fda5d2d6cc8971565ab7df08b6fe9417c307f692e0a2ef45f758f8092350ad
