DigitStealer: C2-инфраструктура и атаки на macOS, криптокошельки

Jamf Threat Labs впервые зафиксировали DigitStealer в ноябре 2025 года. По данным исследования, это вредоносное ПО для кражи информации, нацеленное в первую очередь на криптовалютные кошельки, данные браузеров и данные Связка ключей macOS, а также на другую конфиденциальную информацию.

Ключевые характеристики вредоносного ПО

• Цели: ряд криптовалютных кошельков, браузерные данные, данные Связка ключей macOS и иная чувствительная информация.
• Отсутствие общей веб‑панели: у DigitStealer очевидно нет web‑панели для совместного доступа между операторами или аффилированными лицами, что отличает его от многих других семей инфостилеров.
• Коммуникационная модель: многогранная, использует четыре отдельные конечные точки для операций управления (C2).

Jamf Threat Labs характеризует DigitStealer как «вредоносное ПО для кражи информации».

Инфраструктура и сетевые признаки

Анализ инфраструктуры выявил ряд устойчивых шаблонов, которые могут помочь в обнаружении и связывании новых доменов и серверов с операциями DigitStealer:

• Все выявленные домены, связанные с DigitStealer, используют домен верхнего уровня .com.
• Проверка базовых IP‑адресов с помощью Hunt.io показала, что эти IP размещены в одной сети — в частности в сети Abstract Ltd (Швеция).
• Операторы отдавали заметное предпочтение регистратору доменов Tucows, что указывает на возможный автоматизированный процесс регистрации доменов.
• Аномалия: один домен, зарегистрированный на Immaterialism Limited, подключался к серверу DigitStealer, но не соответствовал установленному шаблону .com и, по оценкам аналитиков, не играет существенной роли в активности вредоносного ПО.
• Серверные признаки: использование HTTPS‑серверов nginx на порту 443 и наличия двух версий OpenSSH — совокупность этих атрибутов создает узнаваемый отпечаток операций.

Значение общей инфраструктуры для обнаружения угроз

Согласованность в сетевой структуре C2 — единые TLD (.com), предпочтения регистратора (Tucows), размещение IP в сети Abstract Ltd и одинаковые серверные стеки (nginx + OpenSSH) — дала аналитикам возможность выявить дополнительные потенциально связанные домены, о которых ранее не сообщалось. Анализ общих сетевых атрибутов, привязанных к известным серверам C2, позволяет усилить мониторинг и мер по устранению угроз.

Практические рекомендации для компаний и аналитиков

• Контролировать внезапные регистрации доменов в зоне .com, особенно через регистратор Tucows, и проверять корреляцию с известными шаблонами DigitStealer.
• Мониторить IP‑диапазоны и хостинг в сети Abstract Ltd и проводить ретроспективный поиск соединений с подозрительными серверами nginx на порту 443.
• Идентифицировать серверы с совпадающими версиями OpenSSH и необычной конфигурацией HTTPS как потенциальные индикаторы компрометации.
• Проводить тщательный аудит систем на предмет утечек из браузеров и Связка ключей macOS, особенно в средах, где используются криптокошельки.
• Использовать обнаруженные сетевые отпечатки для расширения списков индикаторов компрометации (IoC) и автоматизации правил обнаружения в SIEM/EDR.

Вывод

DigitStealer представляет собой целенаправленное инфостилер‑семейство с четко выраженной сетевой и регистрационной «подписью». Наличие нескольких согласованных атрибутов инфраструктуры упрощает обнаружение и связывание новых артефактов с кампанией. Для эффективного противодействия важно сочетать мониторинг регистрационных данных, анализ хостинга и сигнатурное обнаружение на уровне сетевой инфраструктуры и конечных систем.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "DigitStealer: C2-инфраструктура и атаки на macOS, криптокошельки".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.