Хакеры начали использовать Spotify и Chess.com для управления вредоносом, крадущим учетные данные и онлайн-кошельки
Метод DDR заключается в следующем: хакеры прячут информацию о серверах управления вредоносным ПО не в самой программе, а в данных аккаунтов на публичной платформе. За счет этого вирус из зараженной инфраструктуры обращается не напрямую к подозрительному IP-адресу, а к популярному легальному ресурсу. Это значительно усложняет выявление вредоносной активности и своевременную блокировку атаки. Ранее «Солар» уже сообщал о координации кибератак таким методом через Steam, Twitter, YouTube и другие популярные платформы.
Изучение MaskGram Stealer началось в рамках анализа одного из образцов, привлекшего внимание экспертов необычным способом получения сервера управления. В данном случае злоумышленники с помощью DDR-метода спрятали на шахматной платформе и музыкальном сервисе информацию о серверах управления MaskGram Stealer — вредоносное ПО для кражи учетных данных и информации браузеров/кошельков с широким покрытием приложений с функцией загрузки дополнительных модулей.
Помимо учетных данных, стилер крадет информацию об операционной системе пользователя, списке установленных приложений, запущенных процессах, данных браузера, почтовых клиентах, а также мессенджерах, VPN/программах для удаленного управления, игровых клиентах и т.д. В дополнение он может делать скриншоты с экрана. Стилер содержит элементы противодействия наблюдению (ETW patch, syscalls) и способен получать дополнительные модули с серверов управления (C2).
Хакеры распространяют вредонос с помощью социальной инженерии, продвигая его как платное ПО для массовой проверки логинов/паролей по слитым базам, а порой выдают его за «взломанные версии» платного ПО. Так злоумышленники расширяют аудиторию и повышают вероятность запуска.
По наблюдениям экспертов, ВПО используется как минимум с середины 2025 года и продолжает активно применяться в текущий момент.
