Провайдер в курсе всего. Девушка узнает последней
Image

Провайдер в курсе всего. Девушка узнает последней

Жми подписаться, ведь дальше градус будет только расти.

Microsoft перешёл на тёмную сторону? Зачем Bing советует вирусы вместо полезных программ

leer en español

OpenClaw Bing GitHub Huntress GhostSocks Vidar вредоносное ПО
Microsoft перешёл на тёмную сторону? Зачем Bing советует вирусы вместо полезных программ
OpenClaw Bing GitHub Huntress GhostSocks Vidar вредоносное ПО

Привычка загружать файлы без проверки стала слишком рискованной.

image

Новые инструменты на базе искусственного интеллекта всё чаще берут на вооружение киберпреступники. Очередной пример связан с проектом OpenClaw: злоумышленники распространили заражённые установочные файлы, а поисковая система Bing с функциями ИИ помогла вывести вредоносные ссылки в верхние результаты поиска.

Команда компании Huntress обнаружила проблему после инцидента с пользователем, который искал «OpenClaw Windows» через Bing. Система предложила ссылку на недавно созданный репозиторий на GitHub. На странице находился установочный файл, замаскированный под официальный. После запуска на компьютер загрузились программы для кражи данных и прокси-вредонос GhostSocks.

Репозиторий существовал на GitHub с 2 по 10 февраля и принадлежал организации openclaw-installer. Площадка GitHub вызывает доверие у многих разработчиков и пользователей, а у самого OpenClaw существуют десятки тысяч ответвлений. Такой фон помог злоумышленникам сделать поддельный код правдоподобным. Дополнительную убедительность придал результат поиска Bing: вредоносный репозиторий оказался среди первых рекомендаций.

Анализ показал, что большая часть кода в проекте выглядела легитимно. Файлы скопировали из проекта moltworker компании Cloudflare. Вредоносные компоненты спрятали в разделе релизов. Архив 7-Zip содержал исполняемый файл OpenClaw_x64.exe. После запуска файл устанавливал несколько загрузчиков, написанных на Rust, которые загружали вредоносные программы напрямую в память системы.

Одним из компонентов стал cloudvideo.exe — вариант похитителя Vidar. Программа собирала данные пользователей Telegram и Steam и получала адреса управляющих серверов. Ещё один файл, serverdrive.exe, оказался модификацией GhostSocks. Такой вредонос превращает заражённые компьютеры в прокси-узлы. Киберпреступники используют подобные машины для маскировки атак и обхода антифрод-систем при входе во взломанные аккаунты.

Авторы анализа также заметили признаки ранее не описанного упаковщика, получившего рабочее название «stealth packer». Отладочные сообщения в образце указывают на функции запуска вредоносного кода в памяти, добавления правил брандмауэра, создания скрытых заданий планировщика и проверки виртуальной среды перед выполнением полезной нагрузки.

После обращения Huntress администрация GitHub удалила аккаунт и репозиторий. Однако специалисты обнаружили новые страницы с похожими названиями, созданные для распространения вредоносных файлов. Один из клонов появился уже на следующий день после удаления исходного репозитория.

По наблюдениям команды, вокруг OpenClaw уже возникло множество мошеннических схем. Дополнительные риски создаёт и собственная экосистема проекта, где встречаются небезопасные расширения и инструменты, способные раскрывать конфиденциальные данные. Популярность платформы делает её удобной целью для распространения программ, ворующих учётные данные.