По Новости 0 комментариев

Хакеры начали активно использовать музыкальный стриминговый сервис Spotify и крупнейшую в мире шахматную онлайн-платформу Chess.com для управления программой-стилером, предназначенной для кражи учетных данных. Это выяснили эксперты из центра исследования киберугроз Solar 4Rays, входящего в ГК «Солар». Злоумышленники применяют специальный метод Dead Drop Resolver (DDR), который позволяет хранить информацию о серверах управления вредоносным ПО на публичных платформах, что затрудняет обнаружение хакерской активности. Эксперты советуют службам информационной безопасности компаний более внимательно следить за запросами к Spotify и Chess.com из корпоративных сетей.

Метод DDR заключается в том, что хакеры скрывают информацию о серверах управления не в самой программе, а в данных аккаунтов на публичной платформе. Это позволяет вирусу из зараженной инфраструктуры обращаться к популярному легальному ресурсу, а не напрямую к подозрительному IP-адресу, что значительно усложняет выявление вредоносной активности и своевременную блокировку атаки. Ранее «Солар» уже сообщал о координации кибератак таким методом через платформы Steam, Twitter, YouTube и другие.

Изучение MaskGram Stealer началось после анализа одного из образцов, который привлек внимание экспертов необычным способом получения сервера управления. В данном случае злоумышленники с помощью DDR-метода спрятали информацию о серверах управления MaskGram Stealer на шахматной платформе и музыкальном сервисе. Это вредоносное ПО предназначено для кражи учетных данных и информации браузеров и кошельков, с возможностью загрузки дополнительных модулей. Оно также собирает данные об операционной системе пользователя, установленных приложениях, запущенных процессах, данных браузера, почтовых клиентах, мессенджерах, VPN-программах, игровых клиентах и т.д., а также может делать скриншоты экрана.

Стилер содержит элементы противодействия наблюдению и способен получать дополнительные модули с серверов управления. Хакеры распространяют вредоносное ПО через социальную инженерию, представляя его как платное ПО для массовой проверки логинов и паролей по слитым базам, или как «взломанные версии» платного ПО, что увеличивает аудиторию и вероятность его запуска. По наблюдениям экспертов, вредоносное ПО используется как минимум с середины 2025 года и продолжает активно применяться в настоящее время. Индикаторы компрометации вредоноса специалисты Solar 4Rays опубликовали в своем блоге.

Источник

Написать комментарий