Киберпреступники все чаще используют новые инструменты на основе искусственного интеллекта. Последний пример связан с проектом OpenClaw: хакеры распространяли зараженные установочные файлы, а поисковая система Bing помогала вредоносным ссылкам. быть выведенным вверху результатов поиска.
Команда Huntress обнаружила проблему после инцидента, когда пользователь искал «OpenClaw для Windows» через Bing. Система предложила ссылку на недавно созданный репозиторий GitHub. На странице находился установочный файл, маскирующийся под официальный. После загрузки компьютера пользователя была загружена программа для кражи данных и вредоносное ПО GhostSocks.
Репозиторий существовал на GitHub со 2 по 10 февраля и принадлежал организации openclaw-installer. Платформа GitHub вызывает доверие многих разработчиков и пользователей, а сам OpenClaw имеет десятки тысяч форков. Эта среда помогла хакерам сделать фальшивый код правдоподобным. Дополнительную убедительность придал результат поиска Bing: вредоносный репозиторий оказался в числе первых рекомендаций.
Анализ показал, что большая часть кода проекта оказалась легитимной. Файлы были скопированы из проекта moltworker компании Cloudflare. Вредоносные компоненты были спрятаны во вкладке версий. В архиве 7-Zip находился исполняемый файл OpenClaw_x64.exe. После запуска файл устанавливал несколько загрузчиков, написанных на Rust, которые загружали вредоносные программы непосредственно в системную память.
Одним из компонентов является cloudvideo.exe — вариант стилера Vidar. Программа собирает данные пользователей Telegram и Steam и получает адреса управляющих серверов. Другой файл, serverdrive.exe, оказался модификацией GhostSocks. Эта вредоносная программа превращает зараженные компьютеры в прокси-серверы. Киберпреступники используют подобные машины для маскировки атак и обхода систем безопасности при входе во взломанные аккаунты.
Авторы анализа также заметили признаки ранее неизвестного программного обеспечения, получившего рабочее название «стелс-упаковщик». Сообщения в примере указывают на функции для запуска вредоносного кода в памяти, добавления правил брандмауэра и проверки виртуальной среды перед выполнением полезных данных.
После сообщения в Huntress администрация GitHub удалила аккаунт и репозиторий. Однако эксперты обнаружили новые страницы со схожими названиями, созданные для распространения вредоносных файлов. Одна из веток появилась на следующий день после удаления исходного репозитория.
По наблюдениям команды, вокруг OpenClaw уже возникли многочисленные мошеннические схемы. Дополнительные риски создает собственная экосистема проекта, где встречаются небезопасные расширения и инструменты, способные раскрыть конфиденциальную информацию. Популярность платформы делает ее удобной мишенью для распространения программ по краже аккаунтов.
Все важное из мира технологий прямо на ваш почтовый ящик.
Подписываясь, вы принимаете наши Условия и Политику конфиденциальности. Вы можете отказаться от подписки одним щелчком мыши в любое время.
