Исследователи компании Recorded Future предупреждают, что пользователи криптовалют подвергаются нападению со стороны легитимных, но поддельных приложений, которые вместо этого поставляют вредоносное ПО, похищающее информацию.
Угрожающий субъект, стоящий за этой сложной схемой, охотится как за пользователями Windows так и Mac, и использует социальные сети и платформы обмена сообщениями, чтобы обманом заставить их установить приложения, то есть вредоносное ПО.
Как пользователей криптовалют обманом заставляют загружать вредоносное ПО
Vortax – якобы браузерное программное обеспечение для виртуальных встреч – на первый взгляд выглядит как легитимное приложение:
- У него есть веб-сайт, проиндексированный основными поисковыми системами, и связанный с ним блог Medium с подозрительными статьями, сгенерированными искусственным интеллектом.
- На веб-сайте указан физический адрес компании и содержатся заявления о компаниях из списка Fortune 500 как о клиентах и наградах, полученных от технических изданий.
Задав прямой вопрос или участвуя в обсуждениях на криптовалютных каналах, потенциальные цели получают от аккаунтов Vortax инструкции посетить сайт, нажать на кнопку «Попробовать Vortax бесплатно» и ввести предоставленный Room ID, чтобы получить возможность скачать приложение.
«Все идентификаторы комнат, введенные на сайте Vortax, перенаправляют пользователя на ссылку Dropbox (Windows) или внешний сайт, с которого загружается установщик Vortax. Поведенческий анализ инсталляторов Vortax в Windows и macOS показывает, что Vortax App Setup.exe и VortaxSetup.dmg поставляют Rhadamanthys и Stealc, или [Atomic Stealer, aka AMOS], соответственно»
- пояснили исследователи
После загрузки и запуска приложение Vortax не работает из-за ошибок (например, отсутствия драйвера C). Однако в фоновом режиме запускаются вредоносные процессы, и может начаться кража информации.
«Дальнейшее исследование выявило еще 23 домена, расположенных на том же IP-адресе (79.137.197.159). В ходе расследования этих вредоносных приложений были обнаружены дополнительные мошенничества, аналогичные Vortax, которые маскируются под легитимные компании и используют социальные сети и платформы обмена сообщениями, чтобы атаковать криптовалютных пользователей. Эти мошенники, такие как VDeck и Mindspeak, имеют общие черты с брендом Vortax и, вероятно, управляются одним и тем же угрожающим агентом»
- отметили аналитики и заявили, что на каждом из этих доменов размещено вредоносное приложение, поставляющее AMOS
Что делать?
Исследователи полагают, что эта и ранее задокументированная кампания одного и того же угрожающего субъекта могут послужить моделью для будущих кампаний и привести к более широкому распространению Atomic Stealer.
Они также предполагают, что markopolo может быть брокером начального доступа или «продавцом логов» в магазине темной паутины.
Они представили список вредоносных приложений, доменов, а также хэши файлов и советуют организациям установить средства обнаружения и регулярно обновлять сигнатуры вредоносного ПО, а также рассмотреть возможность использования средств контроля безопасности для предотвращения загрузки несанкционированного программного обеспечения.
Пользователям следует быть осторожными при загрузке стороннего программного обеспечения и быть в курсе последних уловок кибермошенников.