Dr.Web раскрывает схему масштабного обмана на тысячи долларов.
Специалисты компании масштабную кампанию по распространению вредоносных программ для криптомайнинга и кражи криптовалют. Злоумышленники маскировали вредоносное ПО под офисные приложения, читы для игр и боты для онлайн-трейдинга, распространяя их через фальшивые страницы на GitHub и YouTube.
Программа, выявленная специалистами, была замаскирована под системный компонент Windows (StartMenuExperienceHost.exe), ответственный за управление меню «Пуск». Вредонос активно взаимодействовал с удалённым хостом и запускал интерпретатор командной строки cmd.exe для выполнения дальнейших действий.
Киберпреступники использовали легитимную сетевую утилиту Ncat, которая в обычных условиях применяется для передачи данных через командную строку. Благодаря обнаружению этого элемента удалось реконструировать цепочку событий и пресечь дальнейшее распространение.
Источник заражений — поддельные страницы на GitHub и YouTube, где пользователи скачивали самораспаковывающийся архив, защищённый паролем. Антивирусы не могут проверять такие архивы из-за их шифрования. Внутри архива находились временные файлы, которые извлекались в системную папку компьютера и инициировали выполнение вредоносных скриптов.
После выполнения скриптов загружалась библиотека , которая использовалась для запуска вредоносных сценариев. В процессе атаки злоумышленники также применяли технику , при которой доверенные системные процессы заменялись вредоносными кодами. Это позволяло хакерам незаметно майнить криптовалюту и подменять адреса кошельков в буфере обмена, перенаправляя средства на свои счета. По оценкам, таким способом атакующие получили более $6000.
Кампания затронула более 28 000 человек, в основном в России, Беларуси, Казахстане, Украине и Турции. Для защиты рекомендуется скачивать программы только с официальных сайтов, использовать антивирусное ПО и избегать пиратских версий приложений.
Подробнее:
Специалисты компании масштабную кампанию по распространению вредоносных программ для криптомайнинга и кражи криптовалют. Злоумышленники маскировали вредоносное ПО под офисные приложения, читы для игр и боты для онлайн-трейдинга, распространяя их через фальшивые страницы на GitHub и YouTube.
Программа, выявленная специалистами, была замаскирована под системный компонент Windows (StartMenuExperienceHost.exe), ответственный за управление меню «Пуск». Вредонос активно взаимодействовал с удалённым хостом и запускал интерпретатор командной строки cmd.exe для выполнения дальнейших действий.
Киберпреступники использовали легитимную сетевую утилиту Ncat, которая в обычных условиях применяется для передачи данных через командную строку. Благодаря обнаружению этого элемента удалось реконструировать цепочку событий и пресечь дальнейшее распространение.
Цепочка заражения
Источник заражений — поддельные страницы на GitHub и YouTube, где пользователи скачивали самораспаковывающийся архив, защищённый паролем. Антивирусы не могут проверять такие архивы из-за их шифрования. Внутри архива находились временные файлы, которые извлекались в системную папку компьютера и инициировали выполнение вредоносных скриптов.
Вредоносные ссылки на скачивания программ с GitHub и YouTube
После выполнения скриптов загружалась библиотека , которая использовалась для запуска вредоносных сценариев. В процессе атаки злоумышленники также применяли технику , при которой доверенные системные процессы заменялись вредоносными кодами. Это позволяло хакерам незаметно майнить криптовалюту и подменять адреса кошельков в буфере обмена, перенаправляя средства на свои счета. По оценкам, таким способом атакующие получили более $6000.
Кампания затронула более 28 000 человек, в основном в России, Беларуси, Казахстане, Украине и Турции. Для защиты рекомендуется скачивать программы только с официальных сайтов, использовать антивирусное ПО и избегать пиратских версий приложений.
Подробнее: