В последние годы инфокрады становятся все более известными хакерами, использующими тактику социальной инженерии для манипуляции пользователями с целью запуска вредоносных программ. Одним из ярких примеров такой угрозы является инфокрад WorldWind, также известный как StormKitty.
Как функционирует WorldWind
После запуска эта вредоносная программа может:
- получить полный контроль над зараженной машиной;
- делать снимки экрана;
- собирать конфиденциальную системную информацию, включая пароли и историю посещенных страниц;
- извлекать данные о криптовалюте.
Распространение угрозы
Недавние доказательства указывают на конкретного пользователя, который заразился вредоносным ПО через программу под названием Flash USDT Sender. Это приложение распространялось через Telegram-канал, управляемый человеком, назвавшимся Brain Box.
Структура Flash USDT Sender
Программа, предназначенная для имитации поддельных транзакций USDT, представляется как безобидное .NET-приложение, но на самом деле функционирует как средство удаления вредоносных программ. Анализ Flash USDT Sender показал, что оно содержит пять зашифрованных полезных файлов, которые после выполнения расшифровываются и размещаются в каталоге %APPDATA%.
Среди этих полезных файлов присутствуют:
- crack.exe
- service.exe
Функциональные возможности вредоносного ПО
После активации вредоносная программа начинает функционировать как перехватчик протокола удаленного рабочего стола (RDP), проверяя наличие активных подключений к порту 3089. Это позволяет ей:
- изменять пароли;
- передавать новые учетные данные на сервер управления (C2).
Кроме того, вредоносное ПО выполняет функции VNC-сервера и анализатора клавиатуры, фиксируя нажатия клавиш и отправляя данные обратно на сервер киберпреступника.
Интересно, что вариант со стороны злоумышленников, известный как Crypto Clipper, отслеживает активность буфера обмена, специально ориентируясь на адреса криптовалют, чтобы перенаправить средства от ничего не подозревающих жертв.
Заключение
Общие эксплуатационные возможности WorldWind Stealer подчеркивают серьезную угрозу, исходящую от современных хакеров. Захват конфиденциальных персональных данных, развертывание различных типов вредоносных программ и передача этих данных на серверы C2 для дальнейшего использования создают настоятельную необходимость в усилении мер безопасности против фишинговых атак и инфокрадов.
Осведомленность и понимание этих методов критически важны как для частных лиц, так и для организаций, стремящихся защитить свои данные и предотвратить воздействие подобных угроз.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Инфокрады: Угроза современных хакеров и команды WorldWind".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.
