- 13,854
- 20
- 8 Ноя 2022
Вредоносное ПО перехватывает одноразовые коды, дающие доступ к банковским аккаунтам.
Злоумышленники все чаще используют Telegram в качестве управляющего сервера (C2) для вредоносного ПО. Недавнее исследование специалистов Positive Technologies Для просмотра ссылки Войдиили Зарегистрируйся более тысячи телеграм-ботов индонезийского происхождения, которые применяются для перехвата одноразовых кодов, необходимых для входа в различные сервисы и аккаунты пользователей. Среди жертв этих атак оказались не только жители Индонезии, но также России и Белоруссии.
Основную массу вредоносного ПО, проанализированного экспертами, составляют два типа стилеров — SMS Webpro и NotifySmsStealer. Злоумышленники не создают свои вредоносы с нуля, а используют готовые шаблоны. Структура классов, названия и код этих стилеров идентичны, различаются лишь C2-серверы образцов и формат сообщений в Telegram. NotifySmsStealer отличается от SMS Webpro тем, что способен похищать информацию не только из сообщений, но и из уведомлений.
Атаки направлены на обычных пользователей, которые получают фишинговые сообщения с вложением в виде APK-файла. Скачав этот файл, жертвы невольно устанавливают СМС-стилер на свои телефоны, что позволяет злоумышленникам перехватывать одноразовые коды для входа в сервисы. Получив одноразовый пароль от банковского аккаунта, преступники могут вывести средства со счета жертвы.
Эксперты Positive Technologies в ходе исследования телеграм-ботов обнаружили множество чатов индонезийского происхождения, ежедневно привлекающих внимание большим количеством сообщений и жертв. Они выявили, что распространение СМС-стилеров часто начиналось с фишинговых атак в WhatsApp. В качестве приманки злоумышленники использовали свадебные приглашения, банковские уведомления и другие документы.
По данным специалистов, больше всего пострадавших от этих атак — граждане Индонезии, где число жертв исчисляется тысячами. В Индии и Сингапуре количество загрузок вредоносного ПО достигло нескольких десятков. В Индии и Бангладеш действуют уникальные типы стилеров. В России, Белоруссии и Малайзии зафиксированы единичные случаи атак.
Для защиты от стилеров эксперты рекомендуют:
Злоумышленники все чаще используют Telegram в качестве управляющего сервера (C2) для вредоносного ПО. Недавнее исследование специалистов Positive Technologies Для просмотра ссылки Войди
Основную массу вредоносного ПО, проанализированного экспертами, составляют два типа стилеров — SMS Webpro и NotifySmsStealer. Злоумышленники не создают свои вредоносы с нуля, а используют готовые шаблоны. Структура классов, названия и код этих стилеров идентичны, различаются лишь C2-серверы образцов и формат сообщений в Telegram. NotifySmsStealer отличается от SMS Webpro тем, что способен похищать информацию не только из сообщений, но и из уведомлений.
Атаки направлены на обычных пользователей, которые получают фишинговые сообщения с вложением в виде APK-файла. Скачав этот файл, жертвы невольно устанавливают СМС-стилер на свои телефоны, что позволяет злоумышленникам перехватывать одноразовые коды для входа в сервисы. Получив одноразовый пароль от банковского аккаунта, преступники могут вывести средства со счета жертвы.
Эксперты Positive Technologies в ходе исследования телеграм-ботов обнаружили множество чатов индонезийского происхождения, ежедневно привлекающих внимание большим количеством сообщений и жертв. Они выявили, что распространение СМС-стилеров часто начиналось с фишинговых атак в WhatsApp. В качестве приманки злоумышленники использовали свадебные приглашения, банковские уведомления и другие документы.
По данным специалистов, больше всего пострадавших от этих атак — граждане Индонезии, где число жертв исчисляется тысячами. В Индии и Сингапуре количество загрузок вредоносного ПО достигло нескольких десятков. В Индии и Бангладеш действуют уникальные типы стилеров. В России, Белоруссии и Малайзии зафиксированы единичные случаи атак.
Для защиты от стилеров эксперты рекомендуют:
- Проверять расширения получаемых файлов.
- Не скачивать приложения по ссылкам из сообщений с незнакомых номеров, даже если отправители представляются банковскими работниками.
- При загрузке из Google Play проверять правильность названия приложения через официальные источники.
- Не загружать и не устанавливать приложения, требующие подозрительных разрешений.
- Источник новости
- www.securitylab.ru
