Пока ты генерируешь видео, UNC6032 уже читают твои переписки в Telegram

С конца 2024 года команда Mandiant Threat Defense отслеживает масштабную кампанию группировки UNC6032, которая превратила растущий интерес к генеративному ИИ в приманку для распространения вредоносного ПО. Основной приём — поддельные сайты популярных инструментов для генерации видео по текстовому описанию, таких как Luma AI, Canva Dream Lab и Kling AI. Через тысячи фальшивых рекламных объявлений в Facebook* и LinkedIn жертвы перенаправляются на сайты-клоны, где скачивают заражённые архивы.

По данным Mandiant, в рекламе фигурируют более 30 доменов. Только в странах ЕС фейковые объявления увидели более 2,3 миллионов пользователей. Реклама запускается как от поддельных страниц, так и от взломанных аккаунтов, с регулярной сменой доменов для обхода блокировок. Несмотря на то что LinkedIn* участвовал в меньшем объёме, именно на этой платформе фиксировались кампании с таргетингом на США, Европу и Австралию.

Внутри загружаемого архива скрывается файл с двойным расширением .mp4.exe, в названии которого используются невидимые символы Брайля, чтобы замаскировать его истинную природу. Иконка у файла — стандартная для видео. Таким образом, вредоносный исполняемый файл выглядит как обычное видео.

Основной дроппер, получивший название STARKVEIL, написан на языке Rust. При запуске он распаковывает и размещает компоненты во внутреннем каталоге, включая бэкдоры XWORM и FROSTRIFT, а также загрузчик GRIMPULL. Далее STARKVEIL запускает Python Launcher с зашифрованным кодом, который в итоге вызывает подгрузку легитимных исполняемых файлов с вредоносными DLL-библиотеками. Эти библиотеки действуют как инжекторы, внедряя полезную нагрузку в процессы Windows.

GRIMPULL — это .NET-загрузчик с проверками на наличие виртуальных сред и песочниц. Он использует Tor для подключения к серверу управления и загрузки дополнительных сборок. Настройки шифруются и хранятся в виде Base64. Утилита способна скачивать Tor, если тот не обнаружен в системе, и шифрует трафик через TripleDES.

XWORM выступает как полноценный бэкдор с функциями кейлоггера, снятия скриншотов, удалённого выполнения команд и распространения через USB. Он связывается с C2-сервером через TCP, отправляет собранную информацию в Telegram и может получать команды вроде выключения ПК, перезапуска, запуска командной строки и прочих. Плагины загружаются и выполняются по требованию.

FROSTRIFT в свою очередь ориентирован на сбор конфиденциальных данных: он извлекает информацию о системе, проверяет наличие 48 популярных расширений браузеров (включая кошельки, менеджеры паролей и 2FA), анализирует установленные криптокошельки и приложения. Бэкдор использует GZIP-сжатые сообщения protobuf поверх SSL и хранит модули в реестре, загружая их в память по команде. Он также может обеспечивать автозапуск через реестр.

Все три бэкдора используют подгрузку вредоносных DLL через доверенные приложения Windows, что затрудняет их обнаружение. Каждый модуль использует уникальные методы обфускации и стойкие каналы связи.

По наблюдениям Mandiant, атаки UNC6032 затронули жертв из разных стран и отраслей. Весь украденный контент — включая логины, куки, данные банковских карт и профили Facebook* — отправляется через Telegram. Google Threat Intelligence Group связывает UNC6032 с Вьетнамом. Ведущие платформы, такие как Meta* и LinkedIn*, участвуют в борьбе с кампанией, удаляя вредоносную рекламу и блокируя домены, однако активность группировки сохраняется.

Поддельные AI-сервисы становятся универсальной ловушкой, на которую легко попасться. Они уже не нацелены только на дизайнеров: любой пользователь, увлёкшийся ИИ, рискует загрузить заражённый файл. Подобные случаи уже фиксировались ранее — например, вирус под маской ИИ активно орудовал в Европе и Азии. Повышенное внимание к безопасности и проверка подлинности домена перед использованием AI-инструментов становятся критически важными.

* Компания Meta и её продукты (включая Instagram, Facebook, Threads) признаны экстремистскими, их деятельность запрещена на территории РФ.