Новый вектор атак: злоумышленники маскируют вредоносное ПО под навыки AI-агентов

Суть новой схемы в том, что сам навык не содержит вредоносного кода. Он выступает исключительно инструментом социальной инженерии. Жертве предлагают установить якобы легитимный навык OpenClaw, с помощью которого можно автоматизировать ставки на погодных рынках Polymarket. В действительности единственная цель этого пакета - заставить пользователя скачать и запустить Windows-файл. Он оказывается новейшей версией загрузчика GachiLoader, который загружает стилер Rhadamanthys (вредоносная программа для кражи учётных данных). Причём адрес командного сервера (C2) хранится в смарт-контракте на блокчейне Polygon, что делает его неизменяемым и крайне сложным для блокировки.

Инфраструктура для доставки выстроена на GitHub. Злоумышленники создали аккаунт blueberywoodsym без какой-либо истории коммитов - исключительно для этой кампании. На странице релизов выложены три сборки, оформленные под бренд OpenClaw. Две из них (от 23-24 февраля) представляют собой одиночные исполняемые файлы на Node.js (Single Executable Applications). Третья, самая свежая, - это полноценное Electron-приложение. Независимо от выбранного трека, конечная цель одна: GachiLoader загружает Rhadamanthys.

Специалисты обнаружили эту активность в ходе анализа угроз, связанных с распространением AI-скиллов. Они обратили внимание, что атака начинается задолго до запуска любого бинарного файла. Внутри пакета навыка есть HTML-файл с названием READ ME BEFORE INSTALL. Он представляет собой локальную копию статьи на платформе Telegraph, в которой описывается, как якобы можно заработать на разнице в котировках погодных фьючерсов Polymarket. Текст ссылается на реальные сервисы - прогнозы NOAA и рынки Polymarket, - что придаёт истории достоверность. Второй шаг инструкции содержит прямую ссылку на скачивание архива с файлом Polymarket.exe с подставного GitHub-аккаунта.

Первые два релиза - это Node.js-приложения, внутри которых зашифрован JavaScript-код. При запуске они следуют уже известному шаблону GachiLoader: создают во временной папке (TEMP) файл с расширением .node, который выступает загрузчиком для стилера. Адрес командного сервера не прописан жёстко - он извлекается из смарт-контракта на Polygon. Это ключевая особенность: C2 живёт в блокчейне, и его нельзя сменить или заблокировать без доступа к контракту. После инъекции Rhadamanthys начинает сбор данных: пароли из браузеров, учётные записи криптокошельков, сессии Telegram и Outlook, настройки VPN и FTP-клиентов, менеджеры паролей, скриншоты экрана и аппаратный идентификатор.

Третий вариант доставки - это Electron-инсталлятор, собранный с помощью NullSoft Installer. Он распаковывает себя в случайную папку внутри TEMP и запускает SoftwareSetup.exe. Перед пользователем появляется четырёхшаговый мастер установки с индикатором прогресса и прокручиваемым логом. Вся картинка - фикция: на диск не записывается ни одного файла. Интерфейс нужен, чтобы отвлечь жертву и создать иллюзию нормальной работы. Когда пользователь нажимает кнопку Install, графический процесс отправляет сообщение основному процессу Electron, где и происходит вредоносная логика.

Перед запуском полезной нагрузки злоумышленники выполняют несколько проверок на детектирование. Они используют GPU через Win32_VideoController, чтобы выявить виртуальную машину. Если в системе меньше двух ядер процессора или объём RAM меньше 4 ГБ, то выполнение прекращается - это защита от песочниц. Затем следует попытка повышения привилегий через PowerShell-команду Start-Process -Verb RunAs, которая вызывает окно контроля учётных записей (UAC). Если всё проходит успешно, процесс убивает приложение SecHealthUI.exe (часть защиты Windows) и добавляет временную папку в список исключений Защитника Windows.

Только после этого расшифровывается зашифрованный AES-256-CBC файл mbueg6f3z.cfg. Ключ и вектор инициализации жёстко прописаны в коде главного JavaScript-файла. Полученный исполняемый модуль сохраняется как .node-файл со случайным именем и запускается в полностью отсоединённом режиме. Этот файл упакован протектором Themida, что ранее уже встречалось в кампаниях GachiLoader.

Эффективность использования Electron-упаковки поражает: на момент анализа лишь один антивирусный движок - ThreatDown от Malwarebytes - смог распознать исполняемый файл как вредоносный. Остальные решения его пропустили. Это говорит о том, что традиционные сигнатуры и эвристики пока не адаптированы к такому типу распространения.

Данная кампания знаменует собой эволюцию тактик GachiLoader. Вместо внедрения вредоносного кода прямо в навык AI-агента преступники используют его как приманку для социальной инженерии. Пользователи доверяют знакомым брендам и интерфейсам установки, не подозревая, что за красивой ширмой скрывается загрузчик стилера. С ростом популярности экосистем AI-агентов количество подобных атак будет только расти. Специалисты предупреждают: навыки становятся новым типом фишинговых вложений, и защита должна учитывать этот вектор.

Domains

• *.onfinality.pro

URLs

• https://github.com/blueberywoodsym/openclawlibs

Smart contract

• 0x519b925A40b29D879d751A99F280006bC0f4EF69

SHA256

• 076ba40e7fbf2910dff87f0c25862a70001d8ad81d23d8beae9fb9b29b603829
• 1753d2f90bd4ac6c0c91e76322ae1d0cc8034842a61dc175c7aba3e1aa944c90
• 1831db8fe19efbd12997f63bc76da79858f87995b9ebd8a05757670e5e52c1f2
• 1f24e75c1e6d6777e970f64ebf18e8bf1dd1dcaab692adf4062c8fad6a6df42c
• 539ac28b816ed0ab17879712a460396bd812221b93540590eccdb89c8196db96
• 8abec84db36ee18b3299b5fd9406f8d99a5be7dd0a4e93536e39bb406fce97a6
• 9fb2ea25254ae53f93e0e13abb59a76a6c1ed512cdf1c1deafafa4d2758117f6
• a981ace958944914e9ea697aff6066d6152820aeea5a6a14a9a7fa6aa31c38a6
• f583f8307468dc5eacc7be7137dc5c7dbab5fc30ca89b03cf6c67b4de030b05d