Atac cibernetic major: Malware distribuit prin rezultate false în căutările Bing
Un nou atac cibernetic a exploatat popularitatea aplicației OpenClaw, utilizând rezultate modificate în motorul de căutare Bing pentru a infecta utilizatorii cu malware periculos. Campania, descoperită recent, a profitat de interesul crescut pentru OpenClaw, o platformă deja controversată din cauza problemelor de securitate. Atacatorii au reușit să direcționeze utilizatorii către depozite false pe platforma GitHub, distribuind astfel programe malițioase.
Metode de înșelăciune și amploare
Potrivit cercetătorilor, depozitele GitHub compromise au fost active între 2 și 10 februarie 2026. Victimele ajungeau la aceste depozite în urma căutărilor pe Bing, unde rezultatele generate cu ajutorul inteligenței artificiale (AI) le indicau o variantă falsă a aplicației pentru Windows. Atacatorii au folosit o organizație pe GitHub numită „openclaw-installer”, un nume suficient de similar cu proiectul real pentru a induce încredere. În plus, pagina falsă conținea elemente vizuale gândite să inspire încredere.
Cu toate acestea, existau semnale de alarmă. Contul GitHub fusese creat recent și nu avea activitate publică relevantă. Profilul indica, de asemenea, un cont de X inexistent, iar fotografia folosită era preluată de la alt utilizator. Malware-ul era ascuns într-o arhivă, sub numele „OpenClaw_x64.exe”, în secțiunea de „release”. O parte din cod era preluat dintr-un proiect legitim, ceea ce ajuta la mascarea componentei malițioase.
Componente malware și atacuri secundare
După execuție, fișierul malițios instala mai multe componente pe sistemele compromise. Printre acestea se aflau loadere scrise în Rust, care rulau în memorie alte componente, o tehnică utilizată pentru a evita detectarea. Unul dintre componente era „cloudvideo.exe”, un infostealer din familia Vidar, care fura credențiale și alte date sensibile.
De asemenea, cercetătorii au identificat „serverdrive.exe”, o variantă de GhostSocks. Acest malware poate transforma sistemele infectate în proxy-uri rezidențiale, utilizate pentru a ascunde traficul infractorilor și a ocoli filtre de securitate. Au fost detectate și mesaje de debug care sugerau injectarea de malware în memorie, adăugarea de reguli în firewall și verificări AntiVM, indicând o campanie complexă, proiectată să reziste la detectare.
La scurt timp după închiderea primului depozit, au apărut clone, ceea ce demonstrează efortul atacatorilor de a menține fluxul de infectare.
Incidentul ilustrează riscurile asociate cu căutările prin motoarele online. Un download făcut rapid poate transforma o aplicație populară într-o breșă majoră de securitate.
Sursa: Playtech.ro
