Пользователи YouTube предупреждены о видео, которые хитро рекламируют трояна для кражи паролей
В апреле исследователи безопасности из Fortinet рассказали о продолжающейся кампании по распространению вредоносного ПО, называемого Predator the Thief. Данная кампания была активна по крайней мере с июля 2018 года и была ориентирована на русскоязычных пользователей. Операторы вредоносных программ купили Predator the Thief у его автора на хакерском форуме и распространяли его с помощью тщательно созданных исполняемых файлов, прикрепленных к электронным письмам и выдававших себя за документы Word.
Трудно сказать, распространяет ли эта конкретная банда киберпреступников «Хищник-вор». Однако мы знаем, что в настоящее время существует еще одна кампания. Он нацелен на гораздо более широкий круг пользователей и использует относительно нетрадиционный вектор инфекции.
Table of Contents
Predator the Thief атакует энтузиастов биткойнов, которые хотят быстро заработать
Схема так же проста, как и умна. Все, что нужно сделать мошенникам, это заманить наивных пользователей к видео на YouTube, а затем надеяться, что зрители будут слишком соблазнены схемой «деньги за ничто», чтобы заметить, что что-то не так.
Несмотря на то, что вся кампания активно обсуждалась в течение пары дней, рассматриваемое видео все еще доступно и доступно любому. Увидев это, мы можем определенно понять, почему некоторые пользователи влюбились в него. Это не просто реклама. Это полное четырехминутное учебное видео, которое якобы показывает, как работает схема.
Очевидно, вы просто скачиваете и устанавливаете инструмент, а затем вводите адрес кошелька, который вы хотите использовать вместе с некоторыми другими частями информации. Программа делает свое волшебство, и через несколько часов у вас есть зашифрованная версия крайне важного закрытого ключа. Расшифровка занимает немного больше времени, но в конце видео показывает, что вы сможете покончить с чужими биткойнами практически без усилий.
И вы знаете, что лучше всего? В описании видео есть ссылка на инструмент восстановления закрытого ключа.
На самом деле есть три ссылки, ведущие к одному и тому же файлу на трех разных платформах: Яндекс Диск, Google Диск и Мега. В попытках поставить подозрительных пользователей в непринужденное положение автор видео говорит, что, поскольку ссылки ведут на законные облачные службы хостинга, файл не может быть заражен вредоносным ПО. Учитывая, что вы читаете это, вы, вероятно, не будете слишком удивлены, узнав, что это так.
Как работает Хищник Вор
Схема была впервые обнаружена независимым исследователем безопасности, который использует ручку Twitter @0xFrost, а действие вредоносного ПО было позже проанализировано Bleeping Computer.
Пользователи, которые попадают в аферу, скачивают ZIP-архив с именем Crypto World.zip, который содержит безобидный на вид исполняемый файл setup.exe. Это сам троян, и, когда эксперты посмотрели на него, у него был очень низкий уровень обнаружения Virus Total, что свидетельствует о том, что авторы вредоносных программ добавили в свое создание некоторые новые функции, чтобы сделать его более незаметным. setup.exe извлекает и удаляет другой исполняемый файл, который обменивается данными с сервером Command & Control (C&C) и выполняет основную операцию кражи информации.
Изредка вредоносная программа предназначена для кражи данных для входа в систему и других данных из браузеров, приложений для онлайн-игр, клиентов FTP, VPN и мгновенных сообщений, а также служб двухфакторной аутентификации. Он также может использовать веб-камеру устройства для фотографирования и записи видео, очистки буфера обмена и даже кражи определенных файлов. Дополнительные модули, загруженные из C&C, могут еще больше расширить его возможности.
К сожалению, никто не знает, сколько людей Хищник-Вор уже ударил и какую информацию украли. Однако, учитывая, что видео, которое начинает всю цепочку заражения, все еще живое, мы бы посоветовали любителям криптовалюты быть особенно осторожными. Имейте в виду, это то, что они должны уже знать.
Будьте осторожны с мошенничеством, связанным с криптовалютой
Это не первая схема быстрого обогащения, связанная с биткойнами, и, по всей вероятности, она не будет последней. Жаль, что Google так долго удаляет видео с YouTube, но правда в том, что после того, как он отключится, преступники найдут другие способы продать вам что-то, что звучит слишком хорошо, чтобы быть правдой, и, вероятно, так оно и есть. Простой факт в том, что если вы находитесь в криптовалюте, вам нужно постоянно следить за людьми, пытающимися выманить у вас деньги и/или данные.
