Dark Partners网络犯罪团伙助长了大规模加密货币抢劫案的发生

一个由虚假AI、VPN和加密软件下载网站组成的庞大网络正被名为“Dark Partners”的网络犯罪团伙用来在全球范围内进行加密盗窃攻击。

伪装成受欢迎的应用程序，这些克隆网站分发Poseiden（macOS）和Lumma（Windows）信息窃取器和恶意软件加载器，如Payday。这种恶意软件用于窃取加密货币和敏感数据，例如主机信息、凭证、私钥或Cookies，这些数据可能会在网络犯罪分子的市场上出售。

在Windows上，攻击者使用来自多家公司的证书对恶意软件构建进行数字签名，其中之一就是PayDay Loader。

其中一个被发送到这些机器上的是Lumma Stealer，这是一个恶意软件操作，执法部门在本月早些时候通过查封数千个域名和部分基础设施来破坏它。

在macOS上，该攻击者发布了Poseidon Stealer，它使用自定义DMG启动器，目标是基于Firefox和chrome的web浏览器。

目标钱包文件夹

网络安全研究人员go0njxa称这次活动背后的威胁者为“Dark Partners”，他描述了感染步骤并分析了所使用的恶意软件。

Dark Partners通过简单的网站提供信息发布者，这些网站模仿了至少37个应用程序和工具，其中一些使用生成式人工智能技术来创建插图、视频和艺术图像（例如Sora、DeepSeek、Haiper、Runway、Leonardo、Creatify）。

该名单还包括7个加密应用和平台，如TradingView、MetaTrader 5、Ledger、Exodus、Koinly、AAVE和Unusual Whales。

这些假网站还包括VPN服务，如Windscribe、支付处理平台Stripe、3D建模应用Blender、专注于创作者的平台TikTok Studio、远程桌面解决方案UltraViewer和Mac Clean （macOS的系统清洁工具）。

根据gonnjxa的说法，登陆页面提供的只是一个下载按钮，它们都共享一个自定义的“等待文件下载”框架，这样就很容易发现它们。

AI驱动视频生成器的虚假下载页面

在提供恶意软件之前，该网站检查bot下载并通过POST请求将用户信息发送到端点。最后，下载操作是基于请求它的操作系统触发的。

研究人员表示，PayDay Loader小组（灵感来自同名游戏）的主持人在2024年8月也有一个Poseidon Stealer小组。

PayDay 加载器面板

值得注意的是，臭名昭著的Poseidon Stealer在2024年7月被出售，收购方来源不明。自出售以来，该恶意软件的有效载荷没有发生重大变化。

Poseidon的AppleScript代码显示，它可以收集浏览器数据，其中包括来自基于Chrome的浏览器（如Chrome、Brave、Edge、Vivaldi、Opera和Firefox）和钱包（如MetaMask）的特定扩展数据。

它还专门针对桌面应用程序的钱包文件夹，如Electrum、Coinomi、Exodus、Atomic、Wasabi、Ledger Live等。

PayDay Loader是windows特定的恶意应用程序，作为一个基于电子的应用程序来提供信息。它有一个反沙箱模块，检查与安全分析工具相关的常见进程名，如果检测到任何进程名，则终止自身。

go0njxa分析了恶意软件，发现它使用了一个混淆的功能，从谷歌Calendar链接检索命令和控制（C2）服务器地址。

建立持久性是一个相当复杂的过程，它涉及在每次登录时运行PowerShell脚本，它的作用是访问隐藏在NTFS备用数据流（set .json:disk. VHD）中的虚拟硬盘（VHD），挂载它，并从新挂载的卷执行文件。

研究人员表示，PayDay Loader包括一个NodeJS窃取模块，可以将加密货币钱包数据泄露到C2。总的来说，它可以从76个钱包和桌面应用程序中窃取数据。

g0njxa报告中的另一个亮点是在Windows恶意软件构建中使用代码签名证书。研究人员表示，“Dark Partners”威胁者很可能购买了这些证书。目前，发现的证书没有一个是有效的，这暂时阻止了恶意活动。

研究人员在他们的报告中包含了分析样本（PayDay Loader和Poseidon Stealer）的广泛妥协指标列表，以及登陆页面的近250个域名。

gonnjxa在网络犯罪团伙中很有名，因为该研究人员正在追踪窃取加密货币钱包的网络犯罪分子。其中一个特别的团伙是“Crazy Evil”，他们负责多个涉及在社交媒体平台上进行复杂的社会工程学活动以吸引受害者。