Хакеры начали активно использовать музыкальный стриминговый сервис Spotify и крупнейшую в мире шахматную онлайн-платформу Chess.com для управления программой-стилером, предназначенной для кражи учетных данных. Это выяснили эксперты центра исследования киберугроз Solar 4Rays ГК «Солар». Злоумышленники применяют метод Dead Drop Resolver (DDR), который позволяет хранить информацию о серверах управления вредоносным ПО на публичных платформах, что затрудняет выявление их активности. Специалисты советуют службам информационной безопасности компаний обращать внимание на появление запросов к Spotify и Chess.com из корпоративных сетей.
Метод DDR заключается в том, что информация о серверах управления вредоносным ПО прячется не в самой программе, а в данных аккаунтов на публичной платформе. Это позволяет вирусу из зараженной инфраструктуры обращаться не напрямую к подозрительному IP-адресу, а к популярному легальному ресурсу, что значительно усложняет обнаружение вредоносной активности и своевременную блокировку атаки. Ранее «Солар» уже сообщал о координации кибератак таким методом через платформы Steam, Twitter, YouTube и другие.
Изучение MaskGram Stealer началось после анализа одного из образцов, который привлек внимание экспертов необычным способом получения сервера управления. В этом случае злоумышленники с помощью DDR-метода спрятали информацию о серверах управления на шахматной платформе и музыкальном сервисе. MaskGram Stealer — это вредоносное ПО для кражи учетных данных и информации из браузеров и кошельков, с возможностью загрузки дополнительных модулей. Помимо учетных данных, стилер крадет информацию об операционной системе пользователя, списке установленных приложений, запущенных процессах, данных браузера, почтовых клиентах, мессенджерах, VPN и программах для удаленного управления, игровых клиентах и т.д. Он также может делать скриншоты экрана.
Стилер содержит элементы противодействия наблюдению и способен получать дополнительные модули с серверов управления. Хакеры распространяют вредоносное ПО с помощью социальной инженерии, продвигая его как платное ПО для массовой проверки логинов и паролей по слитым базам, а иногда выдавая за «взломанные версии» платного ПО. Это помогает злоумышленникам расширить аудиторию и повысить вероятность запуска. По данным экспертов, вредоносное ПО используется как минимум с середины 2025 года и продолжает активно применяться. Индикаторы компрометации вредоноса специалисты Solar 4Rays опубликовали в своем блоге.