- 26,502
- 46
- 8 Ноя 2022
Привычка загружать файлы без проверки стала слишком рискованной.
Новые инструменты на базе искусственного интеллекта всё чаще берут на вооружение киберпреступники. Очередной пример связан с проектом OpenClaw: злоумышленники распространили заражённые установочные файлы, а поисковая система Bing с функциями ИИ помогла вывести вредоносные ссылки в верхние результаты поиска.
Команда компании Huntress обнаружила проблему после инцидента с пользователем, который искал «OpenClaw Windows» через Bing. Система предложила ссылку на недавно созданный репозиторий на GitHub . На странице находился установочный файл, замаскированный под официальный. После запуска на компьютер загрузились программы для кражи данных и прокси-вредонос GhostSocks.
Репозиторий существовал на GitHub с 2 по 10 февраля и принадлежал организации openclaw-installer. Площадка GitHub вызывает доверие у многих разработчиков и пользователей, а у самого OpenClaw существуют десятки тысяч ответвлений. Такой фон помог злоумышленникам сделать поддельный код правдоподобным. Дополнительную убедительность придал результат поиска Bing: вредоносный репозиторий оказался среди первых рекомендаций.
Анализ показал, что большая часть кода в проекте выглядела легитимно. Файлы скопировали из проекта moltworker компании Cloudflare. Вредоносные компоненты спрятали в разделе релизов. Архив 7-Zip содержал исполняемый файл OpenClaw_x64.exe. После запуска файл устанавливал несколько загрузчиков, написанных на Rust, которые загружали вредоносные программы напрямую в память системы.
Одним из компонентов стал cloudvideo.exe — вариант похитителя Vidar . Программа собирала данные пользователей Telegram и Steam и получала адреса управляющих серверов. Ещё один файл, serverdrive.exe, оказался модификацией GhostSocks. Такой вредонос превращает заражённые компьютеры в прокси-узлы. Киберпреступники используют подобные машины для маскировки атак и обхода антифрод-систем при входе во взломанные аккаунты.
Авторы анализа также заметили признаки ранее не описанного упаковщика, получившего рабочее название «stealth packer». Отладочные сообщения в образце указывают на функции запуска вредоносного кода в памяти, добавления правил брандмауэра, создания скрытых заданий планировщика и проверки виртуальной среды перед выполнением полезной нагрузки.
После обращения Huntress администрация GitHub удалила аккаунт и репозиторий. Однако специалисты обнаружили новые страницы с похожими названиями, созданные для распространения вредоносных файлов . Один из клонов появился уже на следующий день после удаления исходного репозитория.
По наблюдениям команды, вокруг OpenClaw уже возникло множество мошеннических схем. Дополнительные риски создаёт и собственная экосистема проекта, где встречаются небезопасные расширения и инструменты, способные раскрывать конфиденциальные данные. Популярность платформы делает её удобной целью для распространения программ, ворующих учётные данные .
Новые инструменты на базе искусственного интеллекта всё чаще берут на вооружение киберпреступники. Очередной пример связан с проектом OpenClaw: злоумышленники распространили заражённые установочные файлы, а поисковая система Bing с функциями ИИ помогла вывести вредоносные ссылки в верхние результаты поиска.
Команда компании Huntress обнаружила проблему после инцидента с пользователем, который искал «OpenClaw Windows» через Bing. Система предложила ссылку на недавно созданный репозиторий на GitHub . На странице находился установочный файл, замаскированный под официальный. После запуска на компьютер загрузились программы для кражи данных и прокси-вредонос GhostSocks.
Репозиторий существовал на GitHub с 2 по 10 февраля и принадлежал организации openclaw-installer. Площадка GitHub вызывает доверие у многих разработчиков и пользователей, а у самого OpenClaw существуют десятки тысяч ответвлений. Такой фон помог злоумышленникам сделать поддельный код правдоподобным. Дополнительную убедительность придал результат поиска Bing: вредоносный репозиторий оказался среди первых рекомендаций.
Анализ показал, что большая часть кода в проекте выглядела легитимно. Файлы скопировали из проекта moltworker компании Cloudflare. Вредоносные компоненты спрятали в разделе релизов. Архив 7-Zip содержал исполняемый файл OpenClaw_x64.exe. После запуска файл устанавливал несколько загрузчиков, написанных на Rust, которые загружали вредоносные программы напрямую в память системы.
Одним из компонентов стал cloudvideo.exe — вариант похитителя Vidar . Программа собирала данные пользователей Telegram и Steam и получала адреса управляющих серверов. Ещё один файл, serverdrive.exe, оказался модификацией GhostSocks. Такой вредонос превращает заражённые компьютеры в прокси-узлы. Киберпреступники используют подобные машины для маскировки атак и обхода антифрод-систем при входе во взломанные аккаунты.
Авторы анализа также заметили признаки ранее не описанного упаковщика, получившего рабочее название «stealth packer». Отладочные сообщения в образце указывают на функции запуска вредоносного кода в памяти, добавления правил брандмауэра, создания скрытых заданий планировщика и проверки виртуальной среды перед выполнением полезной нагрузки.
После обращения Huntress администрация GitHub удалила аккаунт и репозиторий. Однако специалисты обнаружили новые страницы с похожими названиями, созданные для распространения вредоносных файлов . Один из клонов появился уже на следующий день после удаления исходного репозитория.
По наблюдениям команды, вокруг OpenClaw уже возникло множество мошеннических схем. Дополнительные риски создаёт и собственная экосистема проекта, где встречаются небезопасные расширения и инструменты, способные раскрывать конфиденциальные данные. Популярность платформы делает её удобной целью для распространения программ, ворующих учётные данные .
- Источник новости
- www.securitylab.ru
