Найти в Дзене
CISOCLUB - информационная безопасность
8502 подписчика

WEEVILPROXY: масштабная угроза криптовалютной безопасности 2024 года

1
3 мин
Оглавление

Сложная вредоносная кампания WEEVILPROXY угрожает пользователям криптовалют и корпоративному сектору

Компания WithSecure выявила масштабную и постоянно эволюционирующую кампанию вредоносного ПО под названием WEEVILPROXY, которая с марта 2024 года активно нацелена на пользователей криптовалют по всему миру. Особенностью этой кампании является широкое использование продвинутых техник маскировки и методик заражения, а также значительный потенциал для перекрестного заражения организаций, не связанных непосредственно с криптовалютной сферой.

Механизмы заражения и тактики распространения

Вредоносная кампания использует агрессивные рекламные стратегии на популярных платформах, таких как Facebook (социальная сеть, принадлежащая запрещённой в России и признанной экстремистской американской корпорации Meta) и Google Display Network. Злоумышленники создают вводящие в заблуждение баннеры и объявления, которые маскируются под легитимное программное обеспечение для работы с криптовалютами. Взаимодействие пользователя с такими рекламными материалами приводит на специально созданные фишинговые сайты для загрузки вредоносного ПО.

  • На фишинговом сайте размещается подписанный установщик формата MSI, с виду содержащий безобидную полезную информацию.
  • После установки вредоносное ПО разворачивает свои функциональные модули, в том числе прокси-сервер, предназначенный для перехвата сетевого трафика.
  • Программный комплекс позволяет осуществлять похищение конфиденциальных данных, в первую очередь связанных с криптовалютами, включая учетные данные и транзакции.

Функциональные возможности WEEVILPROXY

WEEVILPROXY представляет собой многофункциональное вредоносное ПО, обладающее следующими ключевыми возможностями:

  • Перехват и анализ сетевых запросов по меньшей мере для 45 популярных криптовалютных бирж.
  • Манипулирование действиями пользователя в интернете, включая фишинг учетных данных через прокси-сервер.
  • Ведение кейлоггинга и мониторинг экрана для сбора дополнительной информации.
  • Выполнение команд командной строки и операций с файлами для расширения контроля над системой.
  • Сбор данных с рабочего стола Telegram, что позволяет отслеживать коммуникации жертвы.
  • Манипуляции с расширениями браузера, связанными с криптокошельками, включая фильтрацию паролей в реальном времени с помощью встроенных скриптов.

Особое внимание стоит уделить тому, что встроенные скрипты работают скрытно, обходя предупреждения браузеров о режиме разработчика, что значительно снижает вероятность обнаружения.

Архитектура и меры уклонения от обнаружения

Для защиты своего кода злоумышленники применяют комплексные методы маскировки:

  • Использование NodeJS-приложений, которые затемняются, компилируются и сжимаются для усложнения анализа вредоносного ПО.
  • Связь с C2-серверами реализована через двунаправленную клиент/серверную архитектуру, обеспечивающую связь в реальном времени.
  • Применение DNS-over-HTTPS через Cloudflare для уклонения от сетевого трафика и предотвращения блокировок.

Кроме того, для сохранения стойкости на инфицированном устройстве WEEVILPROXY:

  • Изменяет режим перезагрузки Windows и создает запланированные задачи, сохраняющиеся после сброса системных настроек.
  • Регистрирует новые идентификаторы, чтобы обеспечить непрерывность своей работы даже во время процессов восстановления системы.
  • Использует сложные средства отслеживания и анализа поведения жертвы, что позволяет быстро адаптировать тактики заражения и таргетинг.

Последствия и угрозы для пользователей и организаций

Основное направление атаки — пользователи криптовалют, подпадающие под прицел специализированного фишинга и кражи данных. Однако перекрестное заражение корпоративных устройств указывает на гораздо более широкий масштаб угрозы.

WEEVILPROXY демонстрирует, что современные вредоносные кампании становятся всё более изощренными, сочетая многокомпонентные архитектуры с активным использованием методов социальной инженерии. Это создает серьезную опасность не только для частных пользователей, но и для юридических лиц, чья инфраструктура может стать площадкой для дальнейшего распространения вредоносного ПО.

Эксперты рекомендуют пользователям криптовалют максимально внимательно относиться к источникам загрузки ПО и проявлять осторожность при взаимодействии с рекламным контентом в социальных сетях и онлайн-рекламе.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "WEEVILPROXY: масштабная угроза криптовалютной безопасности 2024 года".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Взгляните на эти темы
IT (информационные технологии)
Камеры и фототехника
Найти тему
Графические планшеты
Смартфоны
Ноутбуки
Наушники
Социальные сети и мессенджеры
Нанотехнологии
Веб-разработка
Гаджеты и электроника
Умные часы
Игровые консоли
Колонки и аудиосистемы
VR-очки
Планшеты
Фитнес-трекеры
Электронные книги
Робототехника
Языки программирования
Мобильная разработка
Гаджеты и электроника
5,73 млн интересуются