- 14,381
- 20
- 8 Ноя 2022
WebView2 от Microsoft стал входным билетом для вирусов.
Злоумышленники используют фальшивые обновления программного обеспечения для распространения нового вредоносного ПО под названием CoinLurker. Для просмотра ссылки Войдиили Зарегистрируйся компании Morphisec , вирус написан на языке Go, а также оснащён передовыми техниками обфускации и антианализа, что делает его эффективным инструментом для современных кибератак.
Атаки осуществляются через поддельные уведомления об обновлениях, распространяемые на взломанных сайтах WordPress, через малвертайзинг , фишинговые письма с ссылками на фейковые страницы обновлений, поддельные CAPTCHA и социальные сети. Все методы используют компонент Для просмотра ссылки Войдиили Зарегистрируйся для выполнения вредоносного кода.
Особенностью CoinLurker является метод EtherHiding. Заражённые сайты внедряют скрипты, которые через Web3-инфраструктуру загружают финальный вредонос с Bitbucket, маскирующийся под легитимные файлы — например, «UpdateMe.exe» или «SecurityPatch.exe». При этом исполняемые файлы подписаны украденным сертификатом Extended Validation, что помогает обходить защитные механизмы.
Многоуровневый инжектор впоследствии внедряет вредонос в процесс Microsoft Edge («msedge.exe»). CoinLurker активно скрывает свои действия, декодируя полезную нагрузку в памяти во время выполнения и применяя условные проверки и манипуляции с памятью для усложнения анализа.
Основная цель вируса — кража данных из криптовалютных кошельков Bitcoin, Ethereum, Ledger Live и Exodus, а также из приложений Telegram, Discord и FileZilla. Исследователь Надaв Лорбер подчёркивает, что масштабный сбор данных свидетельствует о фокусе на ценной криптовалютной информации и пользовательских учётных данных.
Одновременно эксперты из Silent Push Для просмотра ссылки Войдиили Зарегистрируйся малвертайзинг-кампаний, нацеленных на профессионалов графического дизайна. С ноября 2024 года злоумышленники используют рекламные объявления в Google Поиске для распространения заражённых загрузок, связанных с FreeCAD, Rhinoceros 3D, Planner 5D и Onshape.
Злоумышленники используют фальшивые обновления программного обеспечения для распространения нового вредоносного ПО под названием CoinLurker. Для просмотра ссылки Войди
Атаки осуществляются через поддельные уведомления об обновлениях, распространяемые на взломанных сайтах WordPress, через малвертайзинг , фишинговые письма с ссылками на фейковые страницы обновлений, поддельные CAPTCHA и социальные сети. Все методы используют компонент Для просмотра ссылки Войди
Особенностью CoinLurker является метод EtherHiding. Заражённые сайты внедряют скрипты, которые через Web3-инфраструктуру загружают финальный вредонос с Bitbucket, маскирующийся под легитимные файлы — например, «UpdateMe.exe» или «SecurityPatch.exe». При этом исполняемые файлы подписаны украденным сертификатом Extended Validation, что помогает обходить защитные механизмы.
Многоуровневый инжектор впоследствии внедряет вредонос в процесс Microsoft Edge («msedge.exe»). CoinLurker активно скрывает свои действия, декодируя полезную нагрузку в памяти во время выполнения и применяя условные проверки и манипуляции с памятью для усложнения анализа.
Основная цель вируса — кража данных из криптовалютных кошельков Bitcoin, Ethereum, Ledger Live и Exodus, а также из приложений Telegram, Discord и FileZilla. Исследователь Надaв Лорбер подчёркивает, что масштабный сбор данных свидетельствует о фокусе на ценной криптовалютной информации и пользовательских учётных данных.
Одновременно эксперты из Silent Push Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
