Хакеры атакуют друг друга с помощью OpenBullet

Специалисты компании Kasada обнаружили новую кампанию , в ходе которой используются вредоносные файлы конфигурации OpenBullet для заражения других хакеров трояном удаленного доступа (Remote Access Trojan, RAT). Он способен красть персональные данные. 

OpenBullet — официальный инструмент для тестирования на проникновение с открытым исходным кодом, используемый для автоматизации атак с заполнением учетных данных. Программа принимает файл конфигурации, адаптированный для конкретного веб-сайта, и может комбинировать его со списком паролей, полученным с помощью других средств, для регистрации успешных попыток. Сервис стал популярным еще в апреле 2019 года. 

Используя файлы конфигурации, хакеры нацеливаются на других киберпреступников, которые ищут файлы конфигурации на профильных форумах. Обнаруженная кампания использует вредоносные конфигурации, опубликованные в Telegram- канале, чтобы получить доступ к репозиторию GitHub для загрузки дроппера на основе Rust под названием «Ocean», предназначенного для извлечения полезной нагрузки следующего этапа из того же репозитория. 

Исполняемый файл (вредоносное ПО на основе Python под названием «Patent») в конечном итоге запускает RAT-троян, который использует Telegram в качестве сервера управления и контроля (C2) и выполняет следующие действия: захват снимков экрана, кража информации на криптокошельке, похищение паролей и cookie-файлов. 

Троянец также функционирует как клиппер для замены адреса кошелька получателя криптовалюты на адрес злоумышленника, что приводит к несанкционированным переводам средств. 

Среди хакеров есть не только злоумышленники, но и честные люди, поменявшие стратегию. Так, один из них вернул всю криптовалюту, похищенную им из обменника Curve Finance. За это он получил более семи миллионов долларов, а также обещание, что пострадавшие не будут привлекать правоохранительные органы.