Исследователи Zscaler ThreatLabz обнаружили масштабную кампанию по распространению вредоносного ПО через искусственно созданные веб-сайты на тему искусственного интеллекта. Злоумышленники эксплуатируют растущий интерес к таким инструментам, как ChatGPT и Luma AI, используя методы Black Hat SEO для манипулирования результатами поисковых систем. Эти сайты, часто построенные на платформе WordPress, занимают верхние позиции в выдаче Google по запросам вроде "Luma AI blog", что значительно увеличивает шансы попадания пользователей на опасные страницы. При взаимодействии с ресурсом запускается сложная цепочка перенаправлений, приводящая к загрузке на устройство жертвы опасных программ: стилеров Vidar и Lumma, а также загрузчика Legion Loader, способного внедрять расширения для кражи криптовалюты.
Описание
Технический анализ показал, что атака начинается с момента перехода пользователя на фишинговый сайт. Встроенный JavaScript, размещенный на доверенном CDN AWS CloudFront, активируется при любом клике по странице. Скрипт выполняет несколько критически важных функций. Во-первых, он детектирует наличие более 40 видов адблокеров и защитных инструментов, включая AdGuard, EasyList и Fanboy Annoyances. Если такие расширения обнаружены, перенаправление блокируется – это позволяет злоумышленникам избегать анализа безопасности. Во-вторых, скрипт собирает детальную информацию о браузере: версию, разрешение экрана, user-agent, cookies и даже временные метки загрузки страницы. Эти данные шифруются с помощью случайно сгенерированного 5-байтового XOR-ключа, кодируются в Base64 и передаются на сервер управления через домен gettrunkhomuto[.]info, который с января 2025 года зафиксировал свыше 4.4 миллионов обращений.
После верификации данных сервер инициирует многоуровневое перенаправление, адаптируя финальную полезную нагрузку под характеристики системы жертвы. Для обхода систем обнаружения вредоносные файлы упаковываются в огромные NSIS-установщики объемом до 800 МБ – это позволяет избегать анализа песочницами, имеющими ограничения на размер обрабатываемых файлов. Внутри архивов скрываются документы с расширением .docm, маскирующие компоненты AutoIT, которые собирают исполняемые файлы стилеров. Vidar и Lumma крадут учетные данные, платежные данные и криптокошельки, предварительно проверяя наличие антивирусного ПО. Их сценарии целенаправленно ищут и завершают процессы Quick Heal, Sophos, BitDefender, Avast, Norton и ESET через системные утилиты tasklist и findstr.
Отдельную угрозу представляет Legion Loader, распространяемый через вложенные ZIP-архивы с паролями, отображаемыми на изображениях. Его MSI-установщик внедряется в каталог AppData под видом легитимных утилит вроде "Tao Raiqsuv Utils". Ключевая опасность заключается в использовании динамически получаемых паролей с C2-серверов через DLL DataUploader.dll, что усложняет статический анализ. После установки запускается BAT-файл, который с помощью 7-Zip распаковывает вредоносную библиотеку. Она внедряется в процесс explorer.exe через технику process hollowing: легитимный код замещается шеллкодом, который, в свою очередь, загружает расширения-воры криптовалюты непосредственно в браузер. При повторных посещениях сайтов жертвы могут перенаправляться на страницы с рекламным ПО, что указывает на гибридную модель монетизации атаки.
Данная кампания демонстрирует тревожную тенденцию: злоумышленники все чаще используют интерес к ИИ как приманку, сочетая SEO-отравление с изощренными методами обхода защиты. Угроза усугубляется тем, что поддельные ресурсы выглядят профессионально и занимают высокие позиции в поиске. Пользователям необходимо проявлять крайнюю осторожность при переходе по ссылкам на ИИ-инструменты, проверять домены и избегать загрузки файлов с непроверенных источников. Организациям рекомендуется обновлять системы веб-фильтрации, блокировать подозрительные CDN-трафик и обучать сотрудников распознаванию фишинговых техник. Исследователи подчеркивают, что с ростом популярности генеративного ИИ подобные атаки будут только эволюционировать, требуя комплексных мер защиты на уровне сетевого трафика и конечных устройств. Тщательный анализ цепочек перенаправлений и динамическая расшифровка payload остаются ключевыми методами противодействия. Эксперты также призывают поисковые системы усилить алгоритмы выявления SEO-спама, поскольку текущие механизмы явно недостаточны для блокировки таких изощренных угроз.
Индикаторы компрометации
Domains
- advennture.top
- chat-gpt-5.ai
- d.p.formaxprime.co.uk
- e.p.formaxprime.co.uk
- e.x.formaxprime.co.uk
- Galxnetb.today
- h.p.formaxprime.co.uk
- ironloxp.live
- krea-ai.com
- llama-2.com
- luma-ai.com
- metalsyo.digital
- navstarx.shop
- p.p.formaxprime.co.uk
- r.p.formaxprime.co.uk
- s.p.formaxprime.co.uk
- spacedbv.world
- starcloc.bet
- t.p.formaxprime.co.uk
- targett.top
- y.p.formaxprime.co.uk
URLs
- https://guildish.com/diagnostics.php
- steamcommunity.com/profiles/76561199832267488
MD5
- 14642e8ffd81298f649e28dc046d84bb
- 3583e0cc8f78fd1e65f307d2d8471ad2
- 758625d112c04c094f96afc40eafa894
- c53eaf734ecc1d81c241ea2ab030a87e
- c957adb29755e586ee022244369c375d
- ffdaacb43c074a8cb9a608c612d7540b
