Конечно, эпидемией это назвать вряд ли получится, но вспышкой инфекции в одной из групп детского сада по имени «Рунет» - вполне. Уже несколько дней подряд пользователи спешат на ресурс "Клуба Касперского" с одной просьбой. Вместо тысяч слов размещаю скриншот:
Взломали, взломали, взломали. Что же произошло? - Ничего невероятного. На днях была заблокирована пара репозиториев на гитхабе с форками одной популярной в рунете программы. Вполне возможно, что из-за присутствия этих форков, да и самого оригинала власти хотели заблокировать (а в некоторых регионах и заблокировали) доступ ко всему гитхабу. Утилита называлась "zapret" и позволяла "дурить" (термин автора одного из форков) систему под названием DPI, установленную на оборудовании провайдеров, да так дурить, что система начинала пропускать видоизмененные пакеты с данными да в обход реестра заблокированных сайтов, позволяя игрокам общаться в привычном Discord, Telegram снова работал без замедления, а красивые фотографии с летних отпусков снова потекли в Instagram, принадлежащий компании Meta, признанной экстремистской организацией в РФ..
Но музыка недолго играла: видимо, по абьюзам из того же РКН репозитории были заблокированы. А что же пользователи, думаете, они смирились - не тут-то было, они побежали создавать поисковые запросы, промты своим AI-агентам: где скачать, то, что зовется Запретом, чтобы совершить Обход. Но поисковые системы и там паче AI-агенты оказались для пользователей настоящим троянским конём, свиньей-копилкой и котом в мешке одновременно. Подлые хакеры воспользовались слабостями цифро-нейронных алгоритмов и отравили всю поисковую выдачу.
Я сегодня копну неглубоко - но этого моего взмаха хватит, чтобы вскрыть благодатную почву, которую создали запреты, блокировки, цензура, из которой отлично проросли семена, брошенные хакерами. Только плод их горьким оказался.
А теперь закончим эти псевдохудожественные хиханьки да хахоньки и вправду введем, например, на YouTube заветный поисковый запрос. Получим выдачу, в которой первые же ссылки будут вести на закачку троянских программ.
Несколько лет назад мы наблюдали распространение троянов-стилеров, распространявшихся через игровые YouTube-каналы, и тогда разоблаченные авторы устроили "плач Ярославны", что они не распространяли, их обманули, у них купили рекламу и не рассказали, что рекламировать будут троянов и т.д. и т.п. В настоящее время мы наблюдаем уже создание десятков каналов, которые мимикрируют под геймерские, но целью их являются пользовательские данные, которые будут украдены при запуске утилиты, открывающей доступ ко всему интернету в обход реестров и блокировок.
Итак, что мы видим в роликах, где предлагаются эти утилиты. Конечно же я рассмотрю только один вариант, так как текст сообщений писался под копирку и содержимое роликов, как две капли воды похоже на разных каналах.
Во-первых, синтез голоса нейронкой, так чтобы он звучал, как голос целевой аудитории ролика. Это может быть "крутой хакер", "девочка из аниме" или "простой подросток", использующий сленговые слова, - задача тут одна, на все вкусы найти целевую аудиторию для распространения трояна. У вас перестал работать Discord, Telegram, а недавно разблокированный уже Roblox - поэтому нужно скачать мою утилиту и дальше по накатанной: снимите галочки в Защитнике Windows - ведь они конфликтуют с моей программой, скачайте архив, введите пароль и запустите.
Именно в момент запуска и происходит кража сессии браузера, сессии мессенджера и игрового клиента.
Почему я начал статью с информации о блокировке незатрояненных форков? - Да потому что это благодатная почва для хакеров, которые, будто издеваясь, начинают свой спич со слов: "Всем привет, чувачки. Вы уже знаете, что автора запрета заблокировали на гитхабе, но я создал для вас свою сборку, исправив ошибки автора."
После такой длинной вступительной речи рассмотрим основных распространителей и то, что они распространяют.
Авторы каналов ZeroPulse и Paradise — обходы блокировок предлагает скачать на своем канале сборку HideMyDiscord, предлагая варианты загрузки, аж с трех ресурсов - собственного сайта, репозитория гитхаб и из телеграм-канала:
Скачав архив, мы получаем троян, который из-за адреса домена управляющего сервера называется SalatStealer: VirusTotal
Запомним это название и двинемся дальше.
Пользователь vydjar завлекает нас тем, что пинг до игровых серверов не будет улетать в космос с его версией запрета (конечно нужно не забыть отключить антивирус), и предлагает закачку с файлообменника и телеграм-канала:
После скачивания, сталкиваемся со стилером из семейства Badur: VirusTotal
Двигаемся дальше, автор канала VoidCore в комментариях указывает ссылку на гитхаб-репозиторий:
После распаковки архива получаем очередного стилера из семейства: SalatStealer:
Автор канала Rudh Nyot также приглашает нас на гитхаб:
Но репозиторий, к счастью, оказывается заблокирован:
Автор канала TopVirales и автор канала URBAN FARMING также зовут нас на гитхаб:
Распаковав архив, получаем тот же Салат:
Как видим, с самого начала поиска я еще ни разу не попал на какой-то канал, где мне предложили бы скачать не троян!
Продолжаем: автор CrisMatem, также зовет нас на гитхаб-репозиторий:
Который тоже, к счастью, заблокирован.
Автор канала тмм with Idimka, не стесняясь в выражениях, от того, что РКН заблокировал все возможные способы обхода, отправляет нас по ссылкам в комментарии к другому Ютуб-каналу:
Где уже имеются ссылки и на телеграм-канал, и на гитхаб, и на гугл-диск - чтобы уж наверняка, под видом обхода или спуфера для роблокса скачать все тот же Салат.
Кстати, на этот же комментарий мужским голосом нас зовет автор канала Ольга Од
Автор канала Zainii 07 не будет пытаться вам напарить какой-то стилер, он гораздо умнее - с помощью ai-агента он надизайнил сайт:
С помощью которого будет пытаться угнать ваш аккаунт - обычный фишинг.
Например, при попытке входа через MAX, высветится окно с запросом номера телефона, а после ввода, запрос кода:
На указанный номер придет код, я думаю, что всем понятно, что вводить его на сайте не следует.
Автор канала VoidCore просит отключить системные и несистемные (оппозиционные, видимо) антивирусы, перед тем как зайти на страницу гитхаб:
В скачанном архиве снова находится СалатСтилер:
Я думаю, что достаточно скриншотов и дальше просто перечислю:
Канал: Fernando rojas remake 4 Studios
Гитхаб:
VT: VirusTotal
Канал: Dj Atta
Гугл-диск:
VT: VirusTotal
Канал: Star_Boy
Файлообменник:
VT: VirusTotal
Канал: Bhadar Gang
Гитхаб:
VT: VirusTotal
Дальше я устал, поскольку пошли повторы и старые записи с закрытыми репозиториями, удаленными файлами на файлообменниках и, о чудо: первая запись, которая не была вирусной, а на самом деле объясняла, как сделать свой Discord рабочим (ссылку понятное дело публиковать Низзя!)
Что в итоге мы имеем?
Имеем мы 100500 вариантов Салата, только не этого:
и даже не этого:
а самого настоящего вора, который украдет сессии вашего мессенджера, браузера, стима, и никакая двухфакторная авторизация вас тут не спасет, поскольку троян не уводит пароль (хотя если пароль хранится в открытом виде - еще как уводит), если просто скопировать файлы из папки с Телеграм и подложить на другом устройстве, то вы сможете войти в этот аккаунт на втором устройстве без SMS и регистрации. Даже код с Госуслуг не пригодится. Для борьбы с этим в мессенджерах имеются менеджеры сессий, с помощью которых можно увидеть, какие устройства подключены сейчас к вашему аккаунту и отключить их. Мошенники часто оказываются быстрее и завершают ваши сессии, а пока вы предпринимаете усилия для повторного входа через код с тех же Госуслуг и вспоминаете 2FA пароль, успевают сделать много плохих дел. И если это была просто рассылка рекламы - то вам еще повезло.
Еще среди Салатов, мы встретили 2 других стилера: Cerbu и Badur - но хрен редьки не слаще, и пользователям абсолютно наплевать, с помощью какой отмычки взломан их аккаунт.
А также мы встретили классический фишинг, настолько классический, что даже рассказать не о чем.
Но пора время и заканчивать. Что я хотел этой заметкой сказать? - Что преступники будут использовать любой предлог, любую слабость, любой запрет и любые попытки найти дырку в заборе в своих интересах, против вас, за ваши данные, за ваши деньги, за ваши контакты. И быть начеку, а не следовать на поводу у минутной слабости, или желанием обхитрить какой-то запрет или блокировку - потому что это приводит к беде.
PS. Пока я писал эту статью (три-четыре дня), исследователи из компании Солар выпустили свой разбор проблемы троянских репозиториев, позволю краткую цитату с их Телеграм-канала:
Взломали, взломали, взломали. Что же произошло? - Ничего невероятного. На днях была заблокирована пара репозиториев на гитхабе с форками одной популярной в рунете программы. Вполне возможно, что из-за присутствия этих форков, да и самого оригинала власти хотели заблокировать (а в некоторых регионах и заблокировали) доступ ко всему гитхабу. Утилита называлась "zapret" и позволяла "дурить" (термин автора одного из форков) систему под названием DPI, установленную на оборудовании провайдеров, да так дурить, что система начинала пропускать видоизмененные пакеты с данными да в обход реестра заблокированных сайтов, позволяя игрокам общаться в привычном Discord, Telegram снова работал без замедления, а красивые фотографии с летних отпусков снова потекли в Instagram, принадлежащий компании Meta, признанной экстремистской организацией в РФ..
Но музыка недолго играла: видимо, по абьюзам из того же РКН репозитории были заблокированы. А что же пользователи, думаете, они смирились - не тут-то было, они побежали создавать поисковые запросы, промты своим AI-агентам: где скачать, то, что зовется Запретом, чтобы совершить Обход. Но поисковые системы и там паче AI-агенты оказались для пользователей настоящим троянским конём, свиньей-копилкой и котом в мешке одновременно. Подлые хакеры воспользовались слабостями цифро-нейронных алгоритмов и отравили всю поисковую выдачу.
Я сегодня копну неглубоко - но этого моего взмаха хватит, чтобы вскрыть благодатную почву, которую создали запреты, блокировки, цензура, из которой отлично проросли семена, брошенные хакерами. Только плод их горьким оказался.
А теперь закончим эти псевдохудожественные хиханьки да хахоньки и вправду введем, например, на YouTube заветный поисковый запрос. Получим выдачу, в которой первые же ссылки будут вести на закачку троянских программ.
Несколько лет назад мы наблюдали распространение троянов-стилеров, распространявшихся через игровые YouTube-каналы, и тогда разоблаченные авторы устроили "плач Ярославны", что они не распространяли, их обманули, у них купили рекламу и не рассказали, что рекламировать будут троянов и т.д. и т.п. В настоящее время мы наблюдаем уже создание десятков каналов, которые мимикрируют под геймерские, но целью их являются пользовательские данные, которые будут украдены при запуске утилиты, открывающей доступ ко всему интернету в обход реестров и блокировок.
Итак, что мы видим в роликах, где предлагаются эти утилиты. Конечно же я рассмотрю только один вариант, так как текст сообщений писался под копирку и содержимое роликов, как две капли воды похоже на разных каналах.
Во-первых, синтез голоса нейронкой, так чтобы он звучал, как голос целевой аудитории ролика. Это может быть "крутой хакер", "девочка из аниме" или "простой подросток", использующий сленговые слова, - задача тут одна, на все вкусы найти целевую аудиторию для распространения трояна. У вас перестал работать Discord, Telegram, а недавно разблокированный уже Roblox - поэтому нужно скачать мою утилиту и дальше по накатанной: снимите галочки в Защитнике Windows - ведь они конфликтуют с моей программой, скачайте архив, введите пароль и запустите.
Именно в момент запуска и происходит кража сессии браузера, сессии мессенджера и игрового клиента.
Почему я начал статью с информации о блокировке незатрояненных форков? - Да потому что это благодатная почва для хакеров, которые, будто издеваясь, начинают свой спич со слов: "Всем привет, чувачки. Вы уже знаете, что автора запрета заблокировали на гитхабе, но я создал для вас свою сборку, исправив ошибки автора."
После такой длинной вступительной речи рассмотрим основных распространителей и то, что они распространяют.
Авторы каналов ZeroPulse и Paradise — обходы блокировок предлагает скачать на своем канале сборку HideMyDiscord, предлагая варианты загрузки, аж с трех ресурсов - собственного сайта, репозитория гитхаб и из телеграм-канала:
Код:
hххps://hidemy discord[.]com/
hххps://github[.]com/Hide MyDiscord-hub/hidemydiscord/releases/tag/HideMyDiscord
hххps://t[.]me/Discord Obxod3
Скачав архив, мы получаем троян, который из-за адреса домена управляющего сервера называется SalatStealer: VirusTotal
Запомним это название и двинемся дальше.
Пользователь vydjar завлекает нас тем, что пинг до игровых серверов не будет улетать в космос с его версией запрета (конечно нужно не забыть отключить антивирус), и предлагает закачку с файлообменника и телеграм-канала:
Код:
hххps://transfiles[.]ru/d1wxq
hxxps://t[.]me/remmkob/587
После скачивания, сталкиваемся со стилером из семейства Badur: VirusTotal
Двигаемся дальше, автор канала VoidCore в комментариях указывает ссылку на гитхаб-репозиторий:
Код:
hххps://github[.]com/Beatted/Floulss/releases/tag/Discord Obxod
После распаковки архива получаем очередного стилера из семейства: SalatStealer:
Автор канала Rudh Nyot также приглашает нас на гитхаб:
Но репозиторий, к счастью, оказывается заблокирован:
Автор канала TopVirales и автор канала URBAN FARMING также зовут нас на гитхаб:
Код:
hххps://github[.]com/RNKOBHOD/DS-TG-RNK-FULL-FIXER
Распаковав архив, получаем тот же Салат:
Как видим, с самого начала поиска я еще ни разу не попал на какой-то канал, где мне предложили бы скачать не троян!
Продолжаем: автор CrisMatem, также зовет нас на гитхаб-репозиторий:
Код:
hххps://github[.]com/0617380096a-coder/Riadd
Который тоже, к счастью, заблокирован.
Автор канала тмм with Idimka, не стесняясь в выражениях, от того, что РКН заблокировал все возможные способы обхода, отправляет нас по ссылкам в комментарии к другому Ютуб-каналу:
Где уже имеются ссылки и на телеграм-канал, и на гитхаб, и на гугл-диск - чтобы уж наверняка, под видом обхода или спуфера для роблокса скачать все тот же Салат.
Кстати, на этот же комментарий мужским голосом нас зовет автор канала Ольга Од
Автор канала Zainii 07 не будет пытаться вам напарить какой-то стилер, он гораздо умнее - с помощью ai-агента он надизайнил сайт:
Код:
hxxps://youmost24[.]ru/
С помощью которого будет пытаться угнать ваш аккаунт - обычный фишинг.
Например, при попытке входа через MAX, высветится окно с запросом номера телефона, а после ввода, запрос кода:
На указанный номер придет код, я думаю, что всем понятно, что вводить его на сайте не следует.
Автор канала VoidCore просит отключить системные и несистемные (оппозиционные, видимо) антивирусы, перед тем как зайти на страницу гитхаб:
В скачанном архиве снова находится СалатСтилер:
Я думаю, что достаточно скриншотов и дальше просто перечислю:
Канал: Fernando rojas remake 4 Studios
Гитхаб:
Код:
hххps://github[.]com/manuelov707/Bypass
Канал: Dj Atta
Гугл-диск:
Код:
hххps://drive[.]google.com/drive/folders/11kVmaeO7m0AyisQmPxSaVQgXTWg- ejS5
Канал: Star_Boy
Файлообменник:
Код:
hххps://www[.]mediafire[.]com/file/2um1woasegjcuar/zapret _v1.9.9b.rar/file
Канал: Bhadar Gang
Гитхаб:
Код:
hxxps://github[.]com/Ntenetnte/ZapretFixer
Дальше я устал, поскольку пошли повторы и старые записи с закрытыми репозиториями, удаленными файлами на файлообменниках и, о чудо: первая запись, которая не была вирусной, а на самом деле объясняла, как сделать свой Discord рабочим (ссылку понятное дело публиковать Низзя!)
Что в итоге мы имеем?
Имеем мы 100500 вариантов Салата, только не этого:
и даже не этого:
а самого настоящего вора, который украдет сессии вашего мессенджера, браузера, стима, и никакая двухфакторная авторизация вас тут не спасет, поскольку троян не уводит пароль (хотя если пароль хранится в открытом виде - еще как уводит), если просто скопировать файлы из папки с Телеграм и подложить на другом устройстве, то вы сможете войти в этот аккаунт на втором устройстве без SMS и регистрации. Даже код с Госуслуг не пригодится. Для борьбы с этим в мессенджерах имеются менеджеры сессий, с помощью которых можно увидеть, какие устройства подключены сейчас к вашему аккаунту и отключить их. Мошенники часто оказываются быстрее и завершают ваши сессии, а пока вы предпринимаете усилия для повторного входа через код с тех же Госуслуг и вспоминаете 2FA пароль, успевают сделать много плохих дел. И если это была просто рассылка рекламы - то вам еще повезло.
Еще среди Салатов, мы встретили 2 других стилера: Cerbu и Badur - но хрен редьки не слаще, и пользователям абсолютно наплевать, с помощью какой отмычки взломан их аккаунт.
А также мы встретили классический фишинг, настолько классический, что даже рассказать не о чем.
Но пора время и заканчивать. Что я хотел этой заметкой сказать? - Что преступники будут использовать любой предлог, любую слабость, любой запрет и любые попытки найти дырку в заборе в своих интересах, против вас, за ваши данные, за ваши деньги, за ваши контакты. И быть начеку, а не следовать на поводу у минутной слабости, или желанием обхитрить какой-то запрет или блокировку - потому что это приводит к беде.
PS. Пока я писал эту статью (три-четыре дня), исследователи из компании Солар выпустили свой разбор проблемы троянских репозиториев, позволю краткую цитату с их Телеграм-канала:
По README встречают, по малвари провожают: как раскусить фейковый репозиторий за 10 секунд
Злоумышленники вовсю паразитируют на теме блокировок и массовом поиске способов их обхода. Особенно достается популярному локальному tg-ws-proxy и аналогам. В некоторых поисковиках, например Яндексе, оригинальные ссылки временно удаляются и на самом верху выдачи образуется вакуум. Его моментально заполняют свежие вредоносные клоны, которые не успели попасть в бан-листы.
Отдельная ловушка — сторонние зеркала GitHub. Пользователи доверяют им по инерции, но под капотом скачиваемого архива вполне может оказаться вредоносное ПО, которое в свою очередь умеет подчистую пылесосить не только сессии ваших браузеров, но и собирать важные файлы по конкретным расширениям.
Внешне подделка выглядит органично: мошенники подчистую копируют оформление README.md, сохраняют оригинальную верстку и даже реквизиты для донатов настоящему автору. Расчет идет исключительно на невнимательность и машинальные действия.
Чек-лист: 4 главных маркера фейка, которые выдадут его целиком и полностью
Возраст аккаунта: профиль «разработчика» обычно зарегистрирован пару недель назад.
История коммитов: вместо нормальной истории изменений весь код заливается за один раз через веб-интерфейс с унылой заглушкой Add files via upload.
Мертвая социальная активность: у клонов на счетчиках звезд и форков горят нули, а вкладка Issues (проблемы/обсуждения) часто отключена.
Инструкции: в README прямым текстом просят отключить антивирус или добавить папку в исключения Windows Defender, списывая на «ложное срабатывание из-за функционала». Никогда так не делайте, если не провели аудит кода лично.