Поддельное приложение Tralert FX: злоумышленники использовали GitLab для скрытого хищения данных криптотрейдеров

Основным инструментом распространения вредоносного кода стал установщик формата MSI объёмом около 100 мегабайт. Низкий процент детектирования объяснялся наличием у файла действительного сертификата EV-подписи (расширенной проверки), выпущенного на компанию AgilusTech LLC. С высокой долей вероятности эта фирма является подставной или фиктивной, созданной исключительно для получения легитимного сертификата кода. Подобная техника хорошо известна специалистам: валидная цифровая подпись позволяет обходить механизмы защиты Windows SmartScreen и снижать уровень тревоги у антивирусных решений.

Ключевой ошибкой злоумышленника стало включение в установщик живых учётных данных и токенов доступа к GitLab. Аналитики компании Hybrid Analysis в своём отчёте раскрыли, что эта оплошность открыла исследователям полную картину инфраструктуры. Жёстко закодированные логины и пароли для подключения по SSH, а также персональные токены доступа к репозиториям позволили отследить всю цепочку компрометации.

Кампания действует через модульную многоступенчатую архитектуру загрузчика. Сначала обфусцированные скрипты PowerShell, размещённые на GitLab, устанавливают связь с командным сервером управления. Затем создаются запланированные задачи Windows с безобидными названиями вроде TimeZoneRegister и AutoTimeZoneMachine. Эти задачи обеспечивают закрепление вредоносного кода в системе и скрытую загрузку дополнительных модулей через авторизованные API-запросы к GitLab. Причём злоумышленник поддерживает как обфусцированные версии скриптов, так и отладочные варианты без переменных сдвигов, что говорит о непрерывной разработке.

Организация хищения данных выглядит особенно изощрённой. Информация, собираемая тремя модулями (средство разведки системы, клавиатурный шпион и похититель учётных данных из браузера), отправляется через автоматические коммиты в GitLab строго раз в тридцать минут. Злоумышленник намеренно эксплуатирует доверие, которое возникает у систем безопасности к инфраструктуре популярного сервиса. Трафик хищения сливается с обычной активностью разработчиков, что позволяет обходить периметровые средства контроля. В результате на момент расследования основной репозиторий для эксфильтрации содержал более четырёх тысяч коммитов.

Наиболее тревожной находкой стала ручная сортировка жертв. В репозитории обнаружены именованные папки с названиями вроде Kash, Kazeem или skj119, а также нумерованные каталоги от v002 до v279. Отдельная папка unknown содержит более ста файлов и выступает в роли неотсортированного входящего ящика. Такая организация подтверждает, что оператор лично просматривает данные и выделяет наиболее ценные цели. Например, как минимум один пострадавший - немецкоязычный трейдер, управлявший живыми позициями XRP и USDT на криптовалютной бирже, - потерял учётные данные, перехваченные клавиатурным шпионом в открытом виде.

Инфраструктура кампании управляется тремя учётными записями GitLab, привязанными к почтовым ящикам ProtonMail. Все они следуют одинаковому шаблону именования с повторяющимися слогами. Анализ времени коммитов, единого IP-адреса командного сервера, перекрёстных ссылок между токенами и одиннадцати уникальных персональных токенов доступа указывает на одного оператора или очень небольшую группу. Многие признаки - например, использование дешёвых доменов в зонах .store, .site и .online, а также подставное юридическое лицо - характерны для северокорейской группировки VELVET CHOLLIMA, специализирующейся на финансовых преступлениях.

Финальной стадией заражения становится полезная нагрузка под названием MoonPeak. Это модифицированная версия открытого инструмента XenoRAT, известного средства удалённого доступа. MoonPeak создаёт в системе уникальный объект-маркер и связывается с жёстко закодированным IP-адресом командного сервера. Все строки внутри бинарного файла дополнительно запутываются через конкатенацию, что усложняет анализ.

Операционная безопасность злоумышленника представляет собой смесь относительно грамотных решений и грубых просчётов. К сильным сторонам можно отнести использование ProtonMail, регулярную смену токенов и наличие нескольких учётных записей GitLab. Однако критические ошибки перевешивают: вся инфраструктура видна в истории git, используется единственный IP командного сервера без прокси или промежуточного слоя, а отладочные версии кода загружаются вместе с обфусцированными.

Монетизация кампании, судя по всему, строится на двух основных направлениях. Главный доход приносит захват учётных записей на криптовалютных биржах с использованием похищенных логинов и паролей. Дополнительным источником служит перехват сессионных куки в браузерах. Ручная сортировка жертв и формирование именованных папок говорят о коммерческом подходе. Не исключено, что собранные данные перепродаются заинтересованным сторонам на чёрном рынке.

Этот инцидент наглядно демонстрирует, как злоумышленники адаптируют облачные сервисы разработчиков под свои нужды. GitLab, изначально созданный для совместной работы над кодом, превратился в средство сокрытия вредоносной активности. Легитимные сертификаты кода, в свою очередь, перестали быть гарантией безопасности. Для специалистов по защите информации вывод очевиден: доверять установщикам приложений, особенно из финансового сектора, стоит лишь после тщательной проверки, а подозрительная активность в системах контроля версий должна расцениваться как потенциальная угроза.

IPv4

• 161.97.113.34
• 91.107.246.107

Domains

• endava.online
• talert.online
• talert.site
• talert.space
• talert.store
• tralert.online
• tralert.site
• tralert.store
• tralert7.com
• trumpalert.store

URLs

• ekek2-group/ekek2-log-project
• github.com/Fujinuma0804/Tralert
• github.com/vergiegpham/ADS_Analitics

Emails

• handgoldlove@gmail.com
• handgoldlove119@gmail.com
• rur243@proton.me
• vergiegpham@gmail.com

SHA256

• 384255ba8bea8997dce5a6a9c4b4352279343000821128342e6960dbcc14bbe0
• 3c356065e32ac8cbc6ec330581c7c343bf2d5567695f3a015a0ae95908a7ed6b
• 528b004407d32bbc6299540a7a9fd98a3037070d34b56f14813aaaa29820b13d
• eaba341f94e700ff470e7a8fb3fe596f601ff54a8415103fa102520ec4bbd5e9