- 13,091
- 20
- 8 Ноя 2022
Dr.Web раскрывает схему масштабного обмана на тысячи долларов.
Специалисты компании Dr.Web Для просмотра ссылки Войдиили Зарегистрируйся масштабную кампанию по распространению вредоносных программ для криптомайнинга и кражи криптовалют. Злоумышленники маскировали вредоносное ПО под офисные приложения, читы для игр и боты для онлайн-трейдинга, распространяя их через фальшивые страницы на GitHub и YouTube.
Программа, выявленная специалистами, была замаскирована под системный компонент Windows (StartMenuExperienceHost.exe), ответственный за управление меню «Пуск». Вредонос активно взаимодействовал с удалённым хостом и запускал интерпретатор командной строки cmd.exe для выполнения дальнейших действий.
Киберпреступники использовали легитимную сетевую утилиту Ncat, которая в обычных условиях применяется для передачи данных через командную строку. Благодаря обнаружению этого элемента удалось реконструировать цепочку событий и пресечь дальнейшее распространение.
Цепочка заражения
Источник заражений — поддельные страницы на GitHub и YouTube, где пользователи скачивали самораспаковывающийся архив, защищённый паролем. Антивирусы не могут проверять такие архивы из-за их шифрования. Внутри архива находились временные файлы, которые извлекались в системную папку компьютера и инициировали выполнение вредоносных скриптов.
Вредоносные ссылки на скачивания программ с GitHub и YouTube
После выполнения скриптов загружалась библиотека AutoIt , которая использовалась для запуска вредоносных сценариев. В процессе атаки злоумышленники также применяли технику Process Hollowing , при которой доверенные системные процессы заменялись вредоносными кодами. Это позволяло хакерам незаметно майнить криптовалюту и подменять адреса кошельков в буфере обмена, перенаправляя средства на свои счета. По оценкам, таким способом атакующие получили более $6000.
Кампания затронула более 28 000 человек, в основном в России, Беларуси, Казахстане, Украине и Турции. Для защиты рекомендуется скачивать программы только с официальных сайтов, использовать антивирусное ПО и избегать пиратских версий приложений.
Специалисты компании Dr.Web Для просмотра ссылки Войди
Программа, выявленная специалистами, была замаскирована под системный компонент Windows (StartMenuExperienceHost.exe), ответственный за управление меню «Пуск». Вредонос активно взаимодействовал с удалённым хостом и запускал интерпретатор командной строки cmd.exe для выполнения дальнейших действий.
Киберпреступники использовали легитимную сетевую утилиту Ncat, которая в обычных условиях применяется для передачи данных через командную строку. Благодаря обнаружению этого элемента удалось реконструировать цепочку событий и пресечь дальнейшее распространение.
Цепочка заражения
Источник заражений — поддельные страницы на GitHub и YouTube, где пользователи скачивали самораспаковывающийся архив, защищённый паролем. Антивирусы не могут проверять такие архивы из-за их шифрования. Внутри архива находились временные файлы, которые извлекались в системную папку компьютера и инициировали выполнение вредоносных скриптов.
Вредоносные ссылки на скачивания программ с GitHub и YouTube
После выполнения скриптов загружалась библиотека AutoIt , которая использовалась для запуска вредоносных сценариев. В процессе атаки злоумышленники также применяли технику Process Hollowing , при которой доверенные системные процессы заменялись вредоносными кодами. Это позволяло хакерам незаметно майнить криптовалюту и подменять адреса кошельков в буфере обмена, перенаправляя средства на свои счета. По оценкам, таким способом атакующие получили более $6000.
Кампания затронула более 28 000 человек, в основном в России, Беларуси, Казахстане, Украине и Турции. Для защиты рекомендуется скачивать программы только с официальных сайтов, использовать антивирусное ПО и избегать пиратских версий приложений.
- Источник новости
- www.securitylab.ru
