Хакеры начали активно использовать музыкальный стриминговый сервис Spotify и крупнейшую в мире шахматную онлайн-платформу Chess.com для управления программой-стилером для кражи учетных данных, выяснили эксперты центра исследования киберугроз Solar 4RAYS ГК «Солар». Для этого они используют специальный метод Dead Drop Resolver (DDR, от англ. dead drop — тайник), который позволяет хранить информацию о серверах управления вредоносом прямо на публичных платформах. Это усложняет выявление хакерской активности. Эксперты рекомендуют ИБ-службам компаний внимательнее относиться к появлению запросов в адрес Spotify и Chess.comиз корпоративной сети.
Метод DDR заключается в следующем: хакеры прячут информацию о серверах управления вредоносным ПО не в самой программе, а в данных аккаунтов на публичной платформе. За счет этого вирус из зараженной инфраструктуры обращается не напрямую к подозрительному IP-адресу, а к популярному легальному ресурсу. Это значительно усложняет выявление вредоносной активности и своевременную блокировку атаки. Ранее «Солар» уже сообщал о координации кибератак таким методом через Steam, Twitter, YouTube и другие популярные платформы.
Изучение MaskGram Stealer началось в рамках анализа одного из образцов, привлекшего внимание экспертов необычным способом получения сервера управления. В данном случае злоумышленники с помощью DDR-метода спрятали на шахматной платформе и музыкальном сервисе информацию о серверах управления MaskGram Stealer — вредоносное ПО для кражи учетных данных и информации браузеров/кошельков с широким покрытием приложений с функцией загрузки дополнительных модулей.
Помимо учетных данных, стилер крадет информацию об операционной системе пользователя, списке установленных приложений, запущенных процессах, данных браузера, почтовых клиентах, а также мессенджерах, VPN/программах для удаленного управления, игровых клиентах и т.д. В дополнение он может делать скриншоты с экрана. Стилер содержит элементы противодействия наблюдению (ETW patch, syscalls) и способен получать дополнительные модули с серверов управления (C2).
Хакеры распространяют вредонос с помощью социальной инженерии, продвигая его как платное ПО для массовой проверки логинов/паролей по слитым базам, а порой выдают его за «взломанные версии» платного ПО. Так злоумышленники расширяют аудиторию и повышают вероятность запуска.
По наблюдениям экспертов, ВПО используется как минимум с середины 2025 года и продолжает активно применяться в текущий момент.