Специалисты по информационной безопасности компании Dr.Web сообщили о выявлении продолжающейся крупномасштабной киберпреступной операции, в рамках которой злоумышленники активно распространяют вредоносное программное обеспечение для добычи и кражи криптовалютных активов. На входе этой кампании хакеры доставляют на пользовательские устройства вирусы под видом офисного ПО, читов для видеоигр и ботов для интернет-трейдинга.
В компании Dr.Web заявили, что в процессе анализа облачной телеметрии, поступающей от пользователей, эксперты по кибербезопасности обнаружили сомнительную активность софта, замаскированного под компонент операционной системы Windows. Это ПО связывалось с дистанционным сетевым узлом и ожидало подключения извне для запуска интерпретатора командной строки cmd.exe.
В качестве замаскированного подсистемного компонента выступала утилита Ncat, которая является легальным инструментом для передачи информации по сети с использованием командной строки. Благодаря этой находке эксперты компании Dr.Web смогли восстановить последовательность событий безопасности, среди которых были обнаружены попытки заражения пользовательских устройств вредоносным программным обеспечением.
В качестве основных источников заражения в рамках этой киберпреступной операции эксперты называют киберпреступные ресурсы, которые хакеры разрабатывают на платформе GitHub, а также запуск загруженного оттуда софта. Кроме того, ссылки на вредоносное программное обеспечение злоумышленники также часто закрепляют в описаниях под видеороликами на скомпрометированных каналах на видеохостинге YouTube.
В том случае, если пользователь кликнет по ссылке, на его устройство автоматически загрузится распаковывающийся зашифрованный архив, который защищён паролем, из-за чего антивирусное программное обеспечение не способно его автоматически сканировать. При этом пароль киберпреступники указывают на странице скачивания, и в случае его ввода на устройство пользователя загружается сразу несколько видов вредоносного программного обеспечения.
Оригинал публикации на сайте CISOCLUB: "28 тыс. пользователей пострадали от распространяемого хакерами трояна для добычи и кражи криптовалюты".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.
