Злоумышленники маскируются под ИИ-инструменты: новая кампания использует отравление поисковой выдачи и серверную инфраструктуру для доставки вредоносного ПО

Сначала злоумышленники создавали фишинговые страницы, копирующие интерфейс NotebookLM. Со временем они переключились на подражание Claude. Выбор не случаен: эти инструменты активно используют разработчики, а значит, именно они с высокой вероятностью кликнут по рекламному объявлению. Социальная инженерия на базе ИИ становится всё более привлекательным вектором атаки.

Первое звено цепочки заражения - легитимная инфраструктура. Атакующие размещают свои страницы на таких платформах, как Squarespace, Tilkly или Bitbucket Pages. Сами по себе эти сайты не содержат вредоносного кода. Вредоносная нагрузка подгружается только после определённых действий пользователя. Такой подход даёт сразу несколько преимуществ. Ранние этапы кампании выглядят "чистыми" и не вызывают подозрений у антивирусных средств. Нагрузка может доставляться выборочно: в зависимости от геолокации жертвы, её IP-адреса или типа браузера. Кроме того, вредоносный контент можно менять без изменения точки входа.

Исследователи отмечают, что платформы SaaS (программное обеспечение как услуга) идеально подходят для ранних стадий таких атак. Быстрое и анонимное создание убедительных сайтов, поддержка HTTPS и готовые шаблоны - всё это помогает обманывать как пользователей, так и системы фильтрации трафика. Трафик идёт на домены с хорошей репутацией, что снижает подозрения. При необходимости злоумышленники легко заменяют активы и восстанавливают инфраструктуру после её блокировки.

На втором этапе кампания переходит на серверную инфраструктуру Cloudflare Workers и Cloudflare Pages. Эти сервисы позволяют выполнять код и размещать сайты без выделенных серверов. Автоматическое шифрование HTTPS и высокий рейтинг доменов делают такой трафик почти неотличимым от легитимного. Организациям сложно блокировать запросы к Cloudflare, не нарушив работу собственных сервисов. Кроме того, злоумышленники могут быстро менять артефакты, что сильно затрудняет расследование.

Центральный механизм доставки нагрузки - техника ClickFix. Пользователю на странице показывают инструкцию: открыть командную строку и вставить команду, которая уже скопирована в буфер обмена. В зависимости от операционной системы - Windows или macOS - команда различается. Ключевой элемент этой логики - скрипт install-modal.js. Он почти без изменений повторяется в разных версиях кампании и служит отличительным признаком. В более ранних вариантах команды генерировались с помощью модуля WebAssembly (WASM), что затрудняло анализ. В более поздних версиях (подражающих Claude) команды стали встраивать прямо в код - техника упростилась, но осталась эффективной.

Для Windows цепочка заражения строится на использовании штатного системного инструмента mshta, который выполняет удалённый код без записи на диск. Вредоносный файл маскируется под аудиозапись с именем claude.mp3. На самом деле это полиглот-файл: метаданные указывают на MP3, а внутри скрыт сценарий VBA. При его запуске активируется PowerShell с закодированной командой Base64. После декодирования система генерирует уникальный идентификатор жертвы на основе имени компьютера и учётной записи. Затем используется алгоритм генерации доменов (DGA), чтобы обратиться к серверу управления. Дополнительно отключается проверка TLS, применяется обфускация на основе шифра RC4 и отключается защита AMSI (интерфейс для обнаружения вредоносных скриптов). Финальная нагрузка - троян удалённого доступа Pterodo.

Версия атаки под macOS более изощрённая. На ранних этапах злоумышленники использовали Telegram API для получения команд. Трафик к Telegram редко блокируется, поэтому это удобный канал. В более свежих вариантах Telegram заменили на собственные HTTP-серверы. Команды прячут с помощью цепочки: echo, rev (реверс строки), Base64 и выполнение в оболочке zsh. В итоге загружается файл с именем helper - это многоступенчатый загрузчик в памяти. Он представляет собой универсальный бинарник Mach-O, поддерживающий архитектуры x86_64 и arm64. Код загрузчика разбит на 37 фрагментов, которые собираются во время выполнения. Ключ шифрования восстанавливается из нескольких фрагментов с помощью операций XOR. Финальная полезная нагрузка передаётся напрямую интерпретатору zsh через канал, не оставляя следов на диске.

Такое поведение характерно для семейства стилеров AMOS (Atomic macOS Stealer). После запуска вредонос с помощью сценариев AppleScript пытается получить пароль от учётной записи жертвы. Если пароль не требуется, он извлекает данные из связки ключей (keychain) с упором на учётные данные браузера Chrome. Если пароль нужен, пользователю до десяти раз показывают поддельное окно в стиле системных настроек. Параллельно собираются данные о системе: имя хоста, версия ОС, внешний IP и даже раскладка клавиатуры (наличие русской раскладки определяет регион как СНГ). Затем начинается сбор ценной информации: куки, логины и пароли из Chromium- и Firefox-браузеров, данные из установленных расширений для криптовалютных кошельков, файлы локальных кошелёк (Exodus, Electrum, Atomic, Wasabi). Дополнительно крадутся сессии Telegram, содержимое системной связки ключей, данные учётной записи iCloud. Сканируются папки "Рабочий стол" и "Документы" для поиска файлов с определёнными расширениями.

Особую опасность представляет функция подмены установленных приложений для криптовалют. Вредонос загружает с сервера модифицированные архивы app.asar, заменяет ими оригинальные и переподписывает бинарники. Таким образом злоумышленники получают доступ к операциям с криптовалютой на скомпрометированном устройстве. Для закрепления в системе создаётся поддельное приложение-обновщик, зарегистрированное как LaunchAgent, которое каждые 60 секунд связывается с сервером управления и выполняет полученные команды. Это превращает вредонос в полноценный бэкдор. В конце все временные файлы удаляются, но изменённые приложения и механизм персистентности остаются.

Кампания демонстрирует зрелый подход к доставке вредоносного ПО. Акцент на доверенных облачных платформах, сочетание SEO-отравления и техники ClickFix, а также поздняя выдача полезной нагрузки позволяют обходить средства защиты и существенно усложняют анализ. Видна чёткая эволюция методов - от сложных схем с WASM и Telegram к более прямым, но не менее действенным способам. Поскольку атаки нацелены в первую очередь на разработчиков и пользователей ИИ-инструментов, эта угроза будет только расти.

Domains

• atlapp.pages.dev
• bsbdsbs.pages.dev
• claude-code-info.pages.dev
• claude-code-learn.tilkly.com
• claude-code-main.pages.dev
• claude-code-page.bitbucket.io
• claudepage.pages.dev
• cursor-download-center.pages.dev
• download.version-516.com
• download-version.1–8–3.com
• dpsmuz.com
• fdfwasrgwrhfdgvwr.pages.dev
• hb8uu38hbx872bv28dbh29.pages.dev
• iina-technical.com
• lingering-river-05fent.johnson-joseph85.workers.dev
• load-notebooklm.google-mac-app.workers.dev
• man-5klfdsk134k13412-note.pages.dev
• nhb227nbx872bd6723g4d.pages.dev
• not-9rw.pages.dev
• noteapp-d01.pages.dev
• notebooklm-google-app.pages.dev
• notebooklm-last-version.squarespace.com
• notebooklm-new-ver.squarespace.com
• notebooklm-page.pages.dev
• notebooklm-update-version.squarespace.com
• notebooklm-version-upd.squarespace.com
• notegamskardas.pages.dev
• noteklmgoodk.pages.dev
• notembkasjokk.pages.dev
• oakenfjrod.ru
• sceqdsxcqdfcd.pages.dev
• uih9ehfbhdbfqudbfidfcikqhnegf.pages.dev

URLs

• http://152.67.0.53:8471notebooklm.squarespace.com
• https://[MD5(victim_ID)].oakenfjrod.ru/cloude-91267b64–989f-49b4–89b4–984e0154d4d1
• https://api.telegram.org/bot6529184364:AAEdwM7o7w1Z5XJxQf5H2tHkVfV1mX2QeQ/getUpdates
• https://download.version-516.com/claude
• https://download-version.1–8–3.com/notebooklm
• https://dpsmuz.com/curl/d27020952d9960c2552ad42766db28a7e041c472d8f588829ceae5655c9f302b
• https://dpsmuz.com/n8n/update

SHA256

• 1df4207e9ad772c0ef96e35a2756626b4af5065f1296bfb7b0520695d4200350
• c8fd1222c3f70f91c401b008711629bf053874dfec315a48758a032acd114b1a