Ложный старт: кнопка «Пуск» оказалась трояном для 28 000 пользователей

Русскоязычный Даркнет Форум

Support81

Original poster
Administrator
Сообщения
951
Реакции
204
Посетить сайт
Dr.Web раскрывает схему масштабного обмана на тысячи долларов.
image



Специалисты компании

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.


Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

масштабную кампанию по распространению вредоносных программ для криптомайнинга и кражи криптовалют. Злоумышленники маскировали вредоносное ПО под офисные приложения, читы для игр и боты для онлайн-трейдинга, распространяя их через фальшивые страницы на GitHub и YouTube.

Программа, выявленная специалистами, была замаскирована под системный компонент Windows (StartMenuExperienceHost.exe), ответственный за управление меню «Пуск». Вредонос активно взаимодействовал с удалённым хостом и запускал интерпретатор командной строки cmd.exe для выполнения дальнейших действий.

Киберпреступники использовали легитимную сетевую утилиту Ncat, которая в обычных условиях применяется для передачи данных через командную строку. Благодаря обнаружению этого элемента удалось реконструировать цепочку событий и пресечь дальнейшее распространение.

aqqrlhwtxg7gkbmwxjbfdvlglulg7aso.png

Цепочка заражения

Источник заражений — поддельные страницы на GitHub и YouTube, где пользователи скачивали самораспаковывающийся архив, защищённый паролем. Антивирусы не могут проверять такие архивы из-за их шифрования. Внутри архива находились временные файлы, которые извлекались в системную папку компьютера и инициировали выполнение вредоносных скриптов.

yx05rz1az1ohmm1nook5uy4bxqc4txk3.png

Вредоносные ссылки на скачивания программ с GitHub и YouTube

После выполнения скриптов загружалась библиотека

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

, которая использовалась для запуска вредоносных сценариев. В процессе атаки злоумышленники также применяли технику

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.

, при которой доверенные системные процессы заменялись вредоносными кодами. Это позволяло хакерам незаметно майнить криптовалюту и подменять адреса кошельков в буфере обмена, перенаправляя средства на свои счета. По оценкам, таким способом атакующие получили более $6000.

Кампания затронула более 28 000 человек, в основном в России, Беларуси, Казахстане, Украине и Турции. Для защиты рекомендуется скачивать программы только с официальных сайтов, использовать антивирусное ПО и избегать пиратских версий приложений.
Подробнее:

Авторизируйтесь или Зарегистрируйтесь что бы просматривать ссылки.