Gli esperti di sicurezza informatica appartenenti a Malwarebytes hanno scoperto una nuova campagna impegnata a distribuire falsi programmi di installazione ChatGPT e Claude su GitHub e SourceForge. A questi si sono aggiunti anche AutoTune e Kontakt. L’obiettivo dei cybercriminali era quello di distribuire una backdoor di Deno nota come DinDoor.
DinDoor è molto pericoloso perché è in grado di rilasciare nei dispositivi diversi tipi di malware, tra cui un Trojan di accesso remoto (RAT) furtivo che utilizza anche il runtime JavaScript di Deno, hanno spiegato gli esperti di Malwarebytes. Per diffondere i link compromessi a queste piattaforme, gli aggressori hanno utilizzato canali YouTube compromessi.
“Gli aggressori stanno abusando sempre più spesso di runtime JavaScript alternativi come Bun e Deno per eludere i metodi di rilevamento tradizionali“, hanno aggiunto i ricercatori. “In una delle nostre recenti indagini abbiamo documentato come gli aggressori utilizzino Bun come vettore di infezione iniziale per distribuire NWHStealer. Inoltre, a marzo, i ricercatori di ThreatDown hanno osservato aggressori utilizzare Deno per diffondere CastleLoader attraverso una catena di infezione a più fasi che coinvolge l’esca ClickFix“.
Gli indicatori di compromissione dei falsi programmi di installazione ChatGPT e Claude
Vediamo quindi quali sono gli indicatori di compromissione dei falsi programmi di installazione ChatGPT, Claude, AutoTune e Kontakt su GitHub e SourceForge.
- URL
- https[:]//github.com/claude-free-plugin/
- https[:]//github.com/ai-gen-profi
- https[:]//github.com/wharfdemolisherpit
- https[:]//sourceforge.net/projects/gearup/
- https[:]//sourceforge.net/projects/bluewaveremover/
- Domini
- claudescript[.]top: sito web di distribuzione
- ms-telemetry-gateway-us[.]com: C2
- dakatawebstick[.]com: C2
- ashpaltlonpro[.]com: C2
- cf-proxy[.]cloud-analytics-services[.]workers.dev: C2
- agilemast3r[.]duckdns[.]org: C2
- geralnewlong[.]com: C2
- hngfbgfbfb[.]cyou: C2
- logicalnewrestore[.]com: C2
- IP
- 23[.]227[.]196[.]107: C2
- 45[.]137[.]99[.]121: C2
- 31[.]57[.]129[.]23: C2
- 66[.]78[.]40[.]107: C2
- 193[.]233[.]198[.]132: C2
“Queste campagne utilizzano Scoop (un programma di installazione alternativo per Windows) e WinGet (il gestore di pacchetti ufficiale di Windows) per installare Deno sul computer della vittima. Successivamente, sfruttano il runtime di Deno per eseguire un RAT (Remote Access Trojan) in grado di eseguire ulteriori payload, esfiltrando dati da browser, portafogli digitali e altre applicazioni. Deno possiede un’interessante funzionalità peer-to-peer che utilizza Edge per nascondere il traffico dannoso“, hanno precisato gli esperti di Malwarebytes.
