SoraAI.lnk: новый вредоносный инфостилер, маскирующийся под AI-инструмент от OpenAI
Недавнее исследование выявило опасную вредоносную программу SoraAI.lnk, созданную для кражи пользовательских данных под видом модели генерации видео Sora от OpenAI. Эта угроза демонстрирует высокий уровень технической проработки и использования методов социальной инженерии, что требует повышенного внимания со стороны пользователей и специалистов по кибербезопасности.
Механизм распространения и функционирования
Впервые SoraAI.lnk была обнаружена 21 мая 2025 года во Вьетнаме. С тех пор вредонос распространился в несколько других стран, хотя точный масштаб ущерба пока не установлен.
Программа распространяется через файлы, замаскированные под легитимное ПО и размещённые на платформе Github. После запуска вредоносный компонент инициирует процесс PowerShell, который скачивает дополнительные вредоносные скрипты, сохраняет их в виде пакетных файлов (a.bat, 1.bat) во временной директории и выполняет их.
Технические особенности и этапы работы
- Многоэтапный запуск: скрипт 1.bat подавляет вывод команд и настраивает переменные окружения для корректного выполнения дальнейших команд.
- Установка Python-пакетов: используются библиотеки requests, websocket-client, pywin32, aiohttp и cryptography, обеспечивающие HTTP-соединения, работу с асинхронным обменом данными и шифрование.
- Основная нагрузка: скрипт python.py реализует функции сбора и эксфильтрации информации.
Функции кражи и эксфильтрации данных
SoraAI.lnk обладает классическими возможностями инфостилеров, включая:
- Сбор данных из популярных браузеров, таких как Chrome, Firefox, а также из Opera с целью получения паролей.
- Расшифровку и обработку данных с использованием шифрования, связанного с приложениями Chrome.
- Отправку украденной информации злоумышленникам через Telegram с помощью Bot API.
Кроме того, вредонос сжимает полученные данные в архивы формата ZIP, присваивая имена файлам с помощью случайно сгенерированных идентификаторов для маскировки.
Управление передачей информации и скрытие следов
- Уведомление операторов о новой полученной информации посредством Telegram-бота.
- Контроль размера передаваемых файлов с возможностью загрузки больших архивов на файлообменные сервисы, такие как GoFile.io.
- Обход системы для сбора файлов с типичными расширениями из пользовательских директорий и их заархивирование.
- Удаление локальных копий файлов после передачи для затруднения анализа и обнаружения вредоносной активности.
Рекомендации по безопасности
Отсутствие адекватных мер защиты на устройствах представляет серьезную опасность при заражении данной программой. Для минимизации риска заражения стоит соблюдать следующие рекомендации:
- Крайне осторожно относиться к скачиванию и запуску файлов из непроверенных источников, особенно с платформ вроде Github.
- Использовать современное антивирусное ПО с регулярным обновлением баз сигнатур.
- Обеспечить своевременное обновление операционной системы и программного обеспечения.
- Ограничить права пользователей, минимизируя возможность запуска скриптов и установки ПО без необходимого контроля.
_SoraAI.lnk_ служит наглядным примером современных угроз с высоким уровнем маскировки и технологической сложности, что подчеркивает важность повышения осведомленности пользователей и непрерывного совершенствования средств защиты.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Анализ угрозы SoraAI.lnk: кража данных через поддельный Sora от OpenAI".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.