Uma extensa rede de sites falsos de downloads de softwares de IA, VPN e criptomoedas está sendo utilizada pelos cibercriminosos conhecidos como "Dark Partner" para realizar ataques de roubo de criptomoedas em escala global.
Disfarçados de aplicativos populares, esses sites clonados distribuem os infostealers Poseiden (para macOS) e Lumma (para Windows), além de carregadores de malware como o Payday.
Esse malware é usado para roubar criptomoedas e dados sensíveis como informações do host, credenciais, chaves privadas ou cookies, que provavelmente são vendidos no mercado cibercriminoso.
No Windows, o ator de ameaças utilizou certificados de várias empresas para assinar digitalmente os builds do malware, sendo um deles o PayDay Loader.
Um infostealer entregue a essas máquinas foi o Lumma Stealer, uma operação de malware que foi interrompida este mês pela aplicação da lei, com a apreensão de milhares de domínios e parte de sua infraestrutura.
No macOS, foi entregue o Poseidon Stealer pelo ator da ameaça, que utiliza um lançador DMG personalizado e mira em navegadores baseados em Firefox e Chromium.
Os atores de ameaça por trás dessa campanha foram apelidados de "Dark Partners" pelo pesquisador de cibersegurança g0njxa, que descreve os passos da infecção e analisa o malware utilizado.
Dark Partners distribui os infostealers por meio de sites simples que se passam por pelo menos 37 aplicativos e ferramentas, alguns deles usando tecnologia de IA generativa para criar ilustrações, vídeos e imagens artísticas (por exemplo, Sora, DeepSeek, Haiper, Runway, Leonardo, Creatify).
A lista também inclui sete apps e plataformas de criptomoedas como TradingView, MetaTrader 5, Ledger, Exodus, Koinly, AAVE e Unusual Whales.
Esses sites falsos também incluem serviços de VPN como Windscribe, plataforma de processamento de pagamentos Stripe, aplicativo de modelagem 3D Blender, plataforma focada em criadores TikTok Studio, solução de desktop remoto UltraViewer e Mac Clean - uma ferramenta de limpeza de sistema para macOS.
Segundo g0njxa, as páginas de destino fornecem nada mais do que um botão de download e todas compartilham uma moldura personalizada "Aguardando o download do arquivo", facilitando sua descoberta.
Antes de fornecer o malware, o site verifica por downloads realizados por bots e envia informações do usuário para um endpoint via uma requisição POST.
No final, a ação de download é disparada com base no sistema operacional que a solicita.
O pesquisador diz que o host para o painel do PayDay Loader (inspirado no jogo homônimo) também tinha um painel para o Poseidon Stealer em agosto de 2024.
Notavelmente, o infame Poseidon Stealer foi colocado à venda em julho de 2024 e vendido para uma fonte desconhecida.
O malware não viu grandes mudanças de payload desde sua venda.
O código AppleScript para Poseidon mostra que ele pode coletar dados de navegadores, que incluem dados específicos de extensões de navegadores baseados em Chromium como Chrome, Brave, Edge, Vivaldi, Opera e Firefox, e carteiras como MetaMask.
Ele também mira especificamente em pastas de carteiras para aplicativos de desktop como Electrum, Coinomi, Exodus, Atomic, Wasabi, Ledger Live, entre outros.
O PayDay Loader é o aplicativo malicioso específico para Windows, construído como uma aplicação baseada em Electron para entregar infostealers.
Ele possui um módulo anti-sandbox que verifica nomes de processos comuns relacionados a ferramentas de análise de segurança e se encerra se algum deles for detectado.
g0njxa analisou o malware e descobriu que ele usava uma função ofuscada para recuperar o endereço do servidor de comando e controle (C2) de um link do Google Calendar.
Estabelecer persistência é um processo bastante complexo que envolve a execução de um script PowerShell a cada logon, cujo papel é acessar um disco rígido virtual (VHD) escondido dentro de um fluxo de dados alternativo do NTFS (setting.json:disk.vhd), montando-o e executando um arquivo do volume recém-montado.
PayDay Loader inclui um módulo stealer NodeJS que pode exfiltrar dados de carteira de criptomoedas para um C2, diz o pesquisador.
No total, ele pode roubar dados de 76 carteiras e aplicativos de desktop.
Outro destaque no relatório de g0njxa é o uso de certificados de assinatura de código para builds de malware no Windows.
O pesquisador diz que o ator de ameaça Dark Partners provavelmente comprou os certificados.
No momento, nenhum dos certificados descobertos está válido, interrompendo temporariamente a campanha maliciosa.
O pesquisador incluiu em seu relatório uma extensa lista de indicadores de comprometimento para as amostras analisadas (PayDay Loader e Poseidon Stealer) e quase 250 domínios para as páginas de destino.
g0njxa é bem conhecido entre as gangues cibercriminosas, pois o pesquisador está rastreando atores de ameaças que drenam carteiras de criptomoedas.
Uma gangue em particular é a Crazy Evil, responsável por várias campanhas que envolvem engenharia social complexa em plataformas de mídia social para atrair vítimas.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...