Самый успешный документ в истории. Его не существует.
Image

Антипов про самый живучий фейк в истории. Спойлер: дело не в евреях

Фейк без единого оригинального предложения пережил две мировые войны, холодную войну и интернет. 46% взрослого населения планеты до сих пор держит в голове хотя бы один миф из этого текста. Разбираю, как работает машина, которую давно остановили, но никто не заметил.

Чем чаще вы обновляете драйвера, тем быстрее вас хакнут северокорейские специалисты

13011
OtterCookie Lazarus Group WaterPlum Contagious Interview MetaMask Tsunami-Framework InvisibleFerret
Чем чаще вы обновляете драйвера, тем быстрее вас хакнут северокорейские специалисты
OtterCookie Lazarus Group WaterPlum Contagious Interview MetaMask Tsunami-Framework InvisibleFerret

«DriverMinUpdate.app» ведёт себя вежливо, но точно знает, где у вас MetaMask и сид-фраза.

image

Северокорейская кибергруппа, стоящая за кампанией Contagious Interview, продолжает развивать своё вредоносное ПО OtterCookie — универсальный троян, способный работать на разных платформах и воровать учётные данные из браузеров, документов и криптокошельков. По данным японской компании NTT Security Holdings, в феврале и апреле 2025 года были зафиксированы третья и четвёртая версии OtterCookie, свидетельствующие о постоянной и активной разработке данного ПО.

NTT отслеживает группу под названием WaterPlum, также известную как CL-STA-0240, DeceptiveDevelopment, DEVPOPPER, Famous Chollima, PurpleBravo и Tenacious Pungsan. Впервые вредонос был обнаружен в сентябре 2024 года, распространялся через npm-пакеты с внедрённым JavaScript-кодом, поддельные репозитории GitHub и Bitbucket, а также фальшивые приложения для видеозвонков. Основная задача — установить соединение с удалённым сервером и выполнять команды на заражённой машине.

В OtterCookie v3 появился отдельный модуль для загрузки файлов, включая документы, изображения, текстовые файлы и данные из криптовалютных кошельков, что ранее выполнялось через команды shell. Версия v4 пошла ещё дальше: добавлены два модуля для кражи данных из браузера Google Chrome, расширения MetaMask в Chrome и Brave, а также из iCloud Keychain. Один модуль расшифровывает сохранённые пароли Chrome, другой извлекает зашифрованные логины. Различия в методах обработки данных позволяют предположить, что над ними работали разные разработчики.

Также в новой версии трояна реализована проверка на запуск внутри виртуальных машин от VMware, Oracle VirtualBox, Microsoft и QEMU, что затрудняет анализ и отладку.

Одновременно с этим специалисты фиксируют эволюцию других компонентов кампании. Так, под видом обновления драйвера Realtek («WebCam.zip») распространяется основанный на Go инфостилер для macOS. Пользователю предлагают установить приложение «DriverMinUpdate.app», якобы для устранения неполадок с камерой, но на деле оно похищает системный пароль. Такая схема напоминает обновлённую активность ClickFake Interview, где в процессе мнимого собеседования используется поддельное «исправление» проблем с видео и звуком.

По информации Moonlock, целью этого стилера является постоянный канал управления, сбор информации о системе и эксфильтрация чувствительных данных. Помимо DriverMinUpdate, эксперты находили и другие схожие вредоносные приложения: ChromeUpdateAlert, ChromeUpdate, CameraAccess и DriverEasy.

Кампанию также сопровождает новая вредоносная платформа Tsunami-Framework — .NET-модуль с функциями кражи данных из браузеров и кошельков, записи нажатий клавиш, сбора файлов и встроенного, хоть и незавершённого, ботнет-модуля. Этот инструмент распространяется как нагрузка после Python-бэкдора InvisibleFerret.

Аналитики связывают всю инфраструктуру с Lazarus Group — известной северокорейской группировкой, ответственной за шпионские и финансово-мотивированные атаки. Среди последних крупных инцидентов — миллиардная кража с платформы Bybit, приписываемая этой же группе.