Киберпреступники нацелились на криптоинвесторов с помощью нового вредоносного ПО – что нужно знать
Хакеры и киберпреступники нацелились на криптоинвесторов с помощью двух новых вредоносных программ. Что нужно знать, чтобы не стать жертвой мошенников.
Согласно недавнему отчету разработчиков антивирусного ПО Malwarebytes, две новые угрозы кибербезопасности – это недавно обнаруженная программа-вымогатель MortalKombat и GO-вариант вредоносной программы Laplas Clipper.
Жертвы новой фишинговой атаки находятся преимущественно в США, меньший процент жертв приходится на Великобританию, Турцию и Филиппины.
Команда Cisco Talos, занимающаяся исследованием угроз, сообщила, что преступник сканировал Интернет в поисках потенциальных целей с открытым портом 3389 протокола удаленного рабочего стола (RDP) – собственного протокола, который предоставляет пользователю графический интерфейс для подключения к другому компьютеру через сетевое соединение.
В исследовании говорится, что кампания начинается с фишингового электронного письма “и запускает многоступенчатую цепочку атак, в которой агент поставляет либо вредоносное ПО, либо программу-вымогателя, а затем удаляет доказательства наличия вредоносных файлов, заметая следы и затрудняя анализ”.
Фишинговое письмо приходит с вредоносным ZIP-файлом, содержащим скрипт загрузчика BAT, который загружает другой вредоносный ZIP-файл, когда жертва открывает его. Вредоносная программа также загружает либо GO-вариант вредоносной программы Laplas Clipper, либо MortalKombat ransomware.
“Сценарий загрузчика запускает процесс на машине жертвы, затем удаляет загруженные и сброшенные вредоносные файлы, чтобы очистить маркеры заражения”, – говорится в отчете.
Talos отмечает, что обычным вектором атаки для преступников было фишинговое электронное письмо, в котором они выдавали себя за CoinPayments, легитимный глобальный криптовалютный платежный шлюз.
Чтобы письма выглядели еще более легитимными, в них указывается поддельный отправитель “noreply[at]CoinPayments[.]net” и тема письма “[CoinPayments[.]net] Payment Timed Out”.
В такой ситуации к письму прилагается вредоносный ZIP-файл с именем, похожим на ID транзакции, указанный в теле письма, который мотивирует пользователя распаковать приложенный архив, чтобы просмотреть содержимое, представляющее собой вредоносный загрузчик BAT.
Распространение программ-вымогателей растет, но хакеры все реже получают выкуп от жертв
Число атак продолжает расти, однако пострадавшие от киберпреступности все чаще не хотят платить злоумышленникам по их требованиям, согласно недавнему отчету Chainalysis. Он показал, что доходы злоумышленников в прошлом году упали на 40%.
Стоит отметить, что на долю северокорейских хакерских групп приходится огромная часть незаконной кибердеятельности. Совсем недавно разведывательные службы Южной Кореи и США предупредили, что хакеры из Пхеньяна пытаются поразить “крупные международные учреждения” через атаки с помощью программ-вымогателей.
В декабре 2022 года Kaspersky также предоставили сведения, что BlueNoroff, подгруппа северокорейской государственной хакерской группировки Lazarus, выдает себя за венчурных капиталистов, желающих инвестировать в крипто-стартапы, используя новый метод фишинга.
