Сотрудники Avast вскрыли разработку для воровства криптовалюты HackBoss, распространяемое в Telegram под личиной бесплатной помощи для хакеров-новичков. Разработчики HackBoss в итоге смогли присвоить свыше полумиллиона долларов, поверивших этому обману.
HackBoss главным образом замаскирован под бесплатные хакерские материалы: обычно он прикрыт списками паролей банковских пользователей, учетных записей сайтов знакомств и соцсетей. Характерно, что фальшивки оформлены достаточно правдоподобно и снабжены солидными описаниями.
В Telegram действует канал HackBoss, каждый месяц публикующий такого рода предложения, которые просматривают тысячи пользователей, а на сам канал подписано около 30 тысяч человек.
Опасное приложение внедряется на устройство жертвы через архив .ZIP и после запуска предлагает несложный интерфейс. Что бы ни выбрала в нем жертва – на ее устройстве произойдет запуск приложения, ворующего криптовалюту. Оно запустится, какую бы кнопку ни нажал пользователь в предложенном меню. Характерно, что вредоносное приложение дописывает под себя реестр либо инициирует добавленное задание, ежеминутное запускающее пейлоад.
По словам специалистов, даже если завершить вредонос, то после перегрузки устройства или при инициации запланированной задачи он способен включиться вновь.
Работает малварь просто: она изучает буфера обмена в поиске информации о криптовалютных кошельках и заменяет их на хакерские криптовалютные кошельки. И затем, когда пострадавший перечисляет криптовалюту, копируя кошелек получателя, HackBoss подставляет в строку нужного получателя, поскольку мало кто проверяет эти данные перед отправкой средств. В компании Avast нашла более сотни подобных мошеннических кошельков.