Эксперт Финанс
Обучение криптовалютам, инвестициям и финансовой грамотности. Разбираем Bitcoin, биржи, безопасность, риски и стратегии для частных инвесторов
Написать в телеграм
Фейковый репозиторий OpenAI распространял инфостилер
Вредоносный репозиторий на Hugging Face имитировал проект Privacy Filter от OpenAI для доставки инфостилера. Об этом сообщили исследователи HiddenLayer.
Платформа Hugging Face позволяет разработчикам и исследователям обмениваться ИИ-моделями, наборами данных и инструментами машинного обучения.
По данным экспертов, мошенники использовали похожее написание в репозитории Open-OSS/privacy-filter, содержащем файл loader.py, который запускает вредонос для кражи данных на ОС Windows.
Python-скрипт включал в себя поддельный код, связанный с ИИ, чтобы казаться безобидным. Однако в фоновом режиме он отключал проверку ключей SSL, декодировал URL-адрес, указывающий на внешний ресурс, а затем извлекал и выполнял команду PowerShell.
Код, выполняемый в невидимом окне, загружал пакетный файл start.bat. Он повышал привилегии в системе и скачивал финальную нагрузку, добавляя ее в исключения Microsoft Defender. Он представлял собой написанный на языке Rust инфостилер, способный делать скриншоты экрана. Программа похищала:
- куки, сохраненные пароли, ключи шифрования, историю просмотров в браузерах на базе Chromium и Gecko;
- токены Discord, локальные базы данных и мастер-ключи;
- криптокошельки и их браузерные версии;
- учетные данные и конфигурационные файлы SSH, FTP и VPN, включая FileZilla;
- информацию о системе.
Исследователи отметили, что подавляющее большинство из 667 аккаунтов, поставивших лайк вредоносному репозиторию, кажутся автоматически сгенерированными. Кроме того, число загрузок в 244 000 также могло быть искусственно завышено.
