Портал Bleeping Computer со ссылкой на российского поставщика антивирусных решений Dr.Web рассказал о хакерах, крадущих криптовалюту. Для этих целей злоумышленники используют вредоносное ПО, продвигаемое разными способами.
Известно, что сложная многоходовочка продвигается под видом обучающих и рекламирующих криптовалюты видео на YouTube, а также мошеннические репозитории на GitHub. Авторы пишут, что, согласно данным Dr.Web, вредоносная кампания использует поддельное офисное ПО, читы для игр и различный инструментарий для взломов. Нередко хакеры используют и автоматические торговые боты, чтобы обманом заставить пользователей загрузить вредоносные файлы.
Заражение устройства начинается с открытия самораспаковывающегося архива, который успешно проходит антивирусное детектирование при загрузке, так как защищён паролем. Также от обнаружения вредоносы защищены механизмом прекращения работы в случае обнаружения отладочных инструментов. И после того как жертва вводит пароль, из архива распаковываются различные обфусцированные скрипты (с изменённым кодом, но сохранённой функциональностью), DLL-файлы и интерпретатор AutoIT, используемый для запуска подписанного цифровой подписью загрузчика основной полезной нагрузки.
Всего известно о 28 тысячах заражённых ПК: киберпреступники крадут криптовалюты. Причём известно, что вредоносы перехватывали транзакции на сумму $6 000, перенаправляя их на адреса злоумышленников.
«В общей сложности от этой вредоносной кампании пострадало более 28 000 человек, подавляющее большинство из которых — жители России», — заявили в Dr. Web.
