TookPS распространяется под видом UltraViewer, AutoCAD и Ableton.

Результаты телеметрии показали, что TookPS не только имитирует нейронные сети, но также включает в себя обманные веб-сайты, подражающие официальным источникам программного обеспечения для удаленного рабочего стола и 3D-моделирования. Эти сайты предлагают приложения для бесплатной загрузки.

Часто атакуемыми программами являются UltraViewer, AutoCAD и SketchUp, так как они широко используются в бизнесе, поэтому как отдельные пользователи, так и организации могут стать потенциальными жертвами. Отчет также указывает на использование имен файлов, таких как Ableton.exe и QuickenApp.exe, в связи с вредоносными веб-сайтами. Ableton - это программное обеспечение для создания музыки, композиций, записи, микширования и мастеринга, а Quicken - приложение для управления личными финансами.

Исследование также подробно описывает цепочку заражения, инициируемую Trojan-Downloader.Win32.TookPS, которая обращается к серверу C2, чтобы получить сценарий PowerShell. Затем следуют команды, которые последовательно загружают и выполняют три сценария PowerShell, включая запуск SSH-сервера для создания туннеля между зараженным устройством и удаленным сервером. В действительности, злоумышленники получают полный доступ к системе и могут выполнять произвольные команды.

Одна из модифицированных версий вредоносной программы Backdoor.Win32.TeviRat также использовалась в рамках этой кампании, чтобы создать бэкдор на зараженных устройствах. В качестве контрольным центром (C2) в этой кампании использовался домен invoicingtools[.]com. Используется также вредоносная программа Backdoor.Win32.Lapmon, но точный способ доставки остается неизвестным.

Кампания использует домены, зарегистрированные в начале 2024 года, и на данный момент на этих IP-адресах не обнаружены никакие легитимные ресурсы. Однако, помимо этих доменов, которые связаны с кампанией, также обнаружено использование других доменов, которые ранее были заблокированы безопасностью. Выводы исследования указывают на то, что атаки-заманухи DeepSeek являются лишь частью более обширной кампании, направленной на широкий круг пользователей, в том числе домашних и корпоративных.

IPv4

• 88.119.175.184
• 88.119.175.187
• 88.119.175.190

Domains

• autocad-cracked.com
• bsrecov4.digital
• download.monster
• downloader.monster
• inrep.xyz
• inreport2.xyz
• invoicingtools.com
• nicecolns.com
• polysoft.org
• pstuk.xyz
• sketchup-i3dmodels-download.top
• tu02n.website
• tukeps2ld.online
• tuntun2.digital
• twomg.xyz
• ultraviewer.icu
• ultraview-ramotepc.top

MD5

• 08e82a51e70ca67bb23cf08cb83d5788
• 2aef18c97265d00358d6a778b9470960
• 2db229a19ff35f646dc6f099e6bec51f
• 31566f18710e18f72d020dcc2fccf2ba
• 46a5bb3aa97ea93622026d479c2116de
• 62cca72b0bae094e1acc7464e58339c0
• 7cb0ca44516968735e40f4fac8c615ce
• 8d0e1307084b4354e86f5f837d55db87
• 8d1e20b5f2d89f62b4fb7f90bc8e29f6
• 8ffb2a7effd764b1d4016c1df92fc5f5
• 960dff82ffb90a00321512cdb962aa5b
• 9b724bf1014707966949208c4ce067ee
• a3df564352171c207ca0b2d97ce5bb1a
• d1d785750e46a40def569664186b8b40
• d26c026fbf428152d5280ed07330a41c
• eb6b3bcb6df432d39b5162f3310283fb
• ee76d132e179623ad154cd5fb7810b3e
• f1d068c56f6023fb25a4f4f0cc02e9a1