ИБ-исследователи из EclecticIQ обнаружили новую вредоносную кампанию, в рамках которой киберпреступники создавали поддельные сайты для распространения вредоносного ПО, имитируя инструменты программирования Google Gemini и Claude Code от Anthropic.
Кампания, вероятно, географически была ориентирована на пользователей в США и Великобритании. Выяснилось, что злоумышленники начали развёртывать специальные домены в начале этого марта. Чтобы сделать их привлекательными, они использовали методы SEO-отражения, а жертв направляли на контролируемую инфраструктуру.
Домены вели к инфостилерам, которые были нацелены на конечные точки Windows при поддержке PowerShell. Они собирали конфиденциальные сведения из широкого спектра приложений, прежде чем передать результаты в зашифрованном виде на сервер управления и контроля.
«Область сбора данных инфостилеров свидетельствует о целенаправленной ориентации на корпоративных пользователей и рабочие станции разработчиков», — отметили в EclecticIQ. Браузеры семейства Chromium (Chrome, Edge и Brave), а также Firefox становятся мишенью, чтобы извлечь учётные данные, сессионные cookie, данные автозаполнения и историю форм.
Помимо браузеров скрипт напрямую нацелен на платформы для совместной работы и коммуникации, среди которых — Slack, Microsoft Teams, Discord, Mattermost, Zoom и другие. Эксперты добавили, что cookie сессии или ключ локального состояния с них предоставляет аутентифицированный доступ к рабочему пространству жертвы, включая внутренние каналы, общие файлы, общение с клиентами и подключённые интеграции.
Также хакеры собирали информацию из инструментов удалённого доступа, конфигурационных файлов OpenVPN, криптокошельков (например, настройки Brave Wallet и данные Spectre), облачных хранилищ (например, Proton Drive, iCloud Drive, Google Drive, MEGA и OneDrive), а также пользовательских файлов и системных метаданных.
Таким образом атакующие реализовали произвольные задачи удалённого характера на целевом устройстве. Киберпреступники, движимые финансовой мотивацией, обычно используют подобные возможности для непосредственного проникновения в систему через клавиатуру и выполнение интерактивного кода в скомпрометированной среде.
Жертвы, которые думают, что заходят на страницу Gemini CLI, попадают на фейковый сайт geminicli[.]co[.]com, где отображается, казалось бы, легитимная инструкция по установке. Аналогично на домене claudecode[.]co[.]com размещается клонированная страница, визуально соответствующая официальной документации Anthropic. Сходство между этими цепочками атак свидетельствует о том, что за обеими кампаниями стоит одна и та же группировка.
Усам Оздемиров
.png)
.png)