Уязвимость оператора: Инфраструктурные ошибки выдали авторов вредоносной программы DigitStealer для macOS

DigitStealer: краткая справка

Впервые о DigitStealer сообщили специалисты Jamf Threat Labs в середине ноября 2025 года. Программа нацелена на данные 18 различных криптовалютных кошельков, информацию из браузеров, данные связки ключей macOS и другую конфиденциальную информацию. В отличие от аналогичных вредоносных программ, у этого похитителя нет веб-панели управления (dashboard) для предоставления доступа другим операторам или партнерам по аффилиат-программам.

С момента публикации Jamf DigitStealer был замечен в атаках, где он маскируется под популярные приложения. Интересно, что вредоносная программа специфически нацелена на устройства с чипом Apple M2 и состоит из нескольких этапов/полезных нагрузок, каждый из которых выполняет свою функцию. Наконец, программа действует как бэкдор (backdoor), используя постоянный Launch Agent для опроса управляющего сервера каждые 10 секунд на предмет новых команд в виде AppleScript или JavaScript.

Такие вендоры, как Moonlock и Microsoft, также подробно освещали DigitStealer, в то время как исследователи на платформе X (бывший Twitter) регулярно делятся индикаторами компрометации (IOC) и анализом образцов. Именно открытый обмен этой информацией привлек наше внимание и стал отправной точкой для расследования.

Отправная точка: пост в X

В конце января пользователь X Yogesh Londhe (@suyog41) опубликовал пост о недавно обнаруженном образце DigitStealer, маскирующемся под приложение для повышения продуктивности DynamicLake. Выявленный управляющий сервер - diamondpickaxeforge[.]com. Дополнительные домены, недавно идентифицированные другими пользователями, включают ebemvsextiho[.]com, bottleneckid[.]com, booksmagazinetx[.]com, goldenticketsshop[.]com и fixyourallergywithus[.]com.

Общие черты инфраструктуры

Возможно, вы уже заметили закономерность среди упомянутых индикаторов компрометации. Прежде чем углубляться, давайте кратко рассмотрим механизм взаимодействия DigitStealer с управляющим сервером. Программа связывается с четырьмя разными конечными точками, соответствующими ее многоэтапному поведению: /api/credentials (отправка украденных учетных данных), /api/grabber (загрузка файлов на C2), /api/poll (точка для постоянного опроса бэкдора) и /api/log (для выгрузки данных).

Как отмечалось в публикации Jamf, финальная полезная нагрузка - это компонент бэкдора, который каждые 10 секунд отправляет на C2 хеш MD5 от аппаратного UUID системы. Контролируемый злоумышленником сервер также содержит функции защиты от анализа с помощью криптографической проверки. Прежде чем будут выданы команды, C2 предоставляет уникальную строку «challenge» и уровень «complexity». Вредоносная программа должна сгенерировать число, которое при хешировании с этой строкой дает определенный шаблон. Только решив эту головоломку, DigitStealer получает токен сессии и задачи.

Вы, вероятно, заметили, что каждый из упомянутых доменов использует один и тот же домен верхнего уровня (TLD) - .com. Анализ этих доменов и их IP-адресов в сервисе Hunt.io выявляет еще одну закономерность для кластеризации серверов: каждый IP размещен в сети автономной системы (ASN) компании Abstract Ltd, расположенной в Швеции.

Третья закономерность - одинаковые версии протокола безопасной связи (SSH), используемые в этой группе IP-адресов: SSH-2.0-OpenSSH_9.6p1 Ubuntu-3ubuntu13.14 и SSH-2.0-OpenSSH_10.2.

Регистрация доменов и серверы имен

Оператор(ы) DigitStealer демонстрируют не только предпочтение к конкретному хостинг-провайдеру, но и, возможно, автоматизированный процесс регистрации доменов. Большинство доменов, идентифицированных в ходе этого исследования, были зарегистрированы через Tucows, за одним исключением, принадлежащим Immaterialism Limited. Следует отметить, что этот домен находился на сервере DigitStealer, но не следовал шаблону .com и, как полагают, не связан с вредоносной программой.

Такая настройка серверов (ASN Abstract Ltd, веб-сервер nginx, OpenSSH) наводит на мысль, что DigitStealer управляется и поддерживается одним субъектом или небольшой командой. Отсутствие разнообразия инфраструктуры не соответствует модели платформы «вредоносное ПО как услуга» (MaaS), используемой множеством разных акторов. Контраргументом может быть то, что кодовая база является общей, но администратор диктует соблюдение определенного шаблона для инфраструктуры C2.

Неудивительно, что еще одна закономерность проявилась при проверке записей WHOIS. Поиск показал, что все домены (даже те, которые не используют TLD .com) используют Njalla в качестве своих серверов имен. Несмотря на то, что это легитимная компания, инфраструктура Njalla часто ассоциируется с кампаниями программ-вымогателей и вредоносного ПО.

Дальнейший анализ доменов показывает последовательное использование TLS-сертификатов, выпущенных Let's Encrypt, для защиты трафика. Многие домены используют названия, связанные с играми или криптовалютой/финансами. Домены регистрируются партиями для конкретных кампаний: одна кампания проходила с июня по ноябрь 2025 года, другая - в январе и феврале 2026 года.

Кратко подводя итог

DigitStealer использует домены .com, IP-адреса, размещенные в одной автономной системе, и HTTPS-серверы nginx на порту 443. В дополнение к веб-серверу мы также идентифицировали две версии OpenSSH, используемые в кластере. Если бы мы составляли запрос на SQL, он выглядел бы примерно так: выбрать все IP, где ASN = 39287, порт = 443, заголовок сервера = nginx, общее имя в сертификате LIKE '%.com%' и версия SSH соответствует определенным значениям.

Для проверки наших выводов можно создать простой скрипт на Python, который будет делать HTTP-запросы к известным конечным точкам на этих доменах. Цель проверки - найти JSON-ответ, содержащий поля «challenge» и «complexity». При положительном ответе и проверке WHOIS на наличие Tucows в качестве регистратора и серверов имен Njalla можно с высокой уверенностью утверждать, что мы идентифицировали именно инфраструктуру DigitStealer. Некоторые из доменов уже были публично зарегистрированы, а некоторые - нет, что лишь укрепляет уверенность в правильности трека. Домены, которые в данный момент не отвечают, могли быть отключены самими злоумышленниками или еще не введены в эксплуатацию.

Многие операции по модели MaaS, как правило, имеют разрозненный след, когда речь идет об инфраструктуре командования и управления, а также доставки полезной нагрузки. У разных акторов разные предпочтения в отношении хостинга, регистрации и серверов имен, что, признаем, иногда затрудняет мониторинг. Уровень единообразия, наблюдаемый в случае с DigitStealer, указывает не на модель общего сервиса, а скорее на закрытую операцию, управляющую всей цепочкой - от покупки домена до сбора учетных данных.

Вывод

Операторы DigitStealer построили функциональную и эффективную сеть управляющих серверов, но их последовательные инфраструктурные выборы позволили легко создать цифровой отпечаток, который сделал большую часть операции обнаруживаемой. Изучая общие сетевые атрибуты, начиная с известного C2-сервера, исследователям удалось идентифицировать домены, о которых ранее не сообщалось.

Когда субъекты угроз ставят эффективность выше операционной безопасности, защитникам важно использовать эти ошибки для упреждающего выявления и нейтрализации их активов до того, как те атакуют наши сети. Этот случай наглядно демонстрирует, как даже продвинутая вредоносная программа с криптографическими механизмами защиты может быть раскрыта через анализ рутинных, но критически важных аспектов своей инфраструктуры.

IPv4

• 80.78.22.131
• 80.78.22.140
• 80.78.25.205
• 80.78.27.104
• 80.78.30.146
• 80.78.30.191
• 80.78.30.90
• 80.78.31.72

Domains

• bchat.cc
• beetongame.com
• binance.comtr-katilim.com
• cekrovnyshim.com
• chiebi.com
• diamondpickaxeforge.com
• ebemvsextiho.com
• flowerskitty.com
• ironswordzombiekiller.com
• red-letter.org
• rompompomsigma.com
• siriustimes.info
• siriustimes.rocks
• th6969.top
• theinvestcofund.com
• tribusadao.com
• yourwrongwayz.com