Хакери та кіберзлочинці атакують криптоінвесторів двома новими шкідливими програмами, які шукають в Інтернеті необережних інвесторів, щоб викрасти їхні кошти.
Згідно з нещодавнім звіт Програмне забезпечення для захисту від зловмисного програмного забезпечення Malwarebytes, дві нові загрози кібербезпеці, які включають нещодавно виявлену програму-вимагач MortalKombat і варіант GO шкідливої програми Laplas Clipper, були розгорнуті в кампаніях, спрямованих на викрадення криптовалюти у жертв.
Жертви нової фішингової атаки переважно перебувають у Сполучених Штатах, менший відсоток жертв у Великій Британії, Туреччині та на Філіппінах.
Дослідницька група компанії Cisco Talos із аналізу загроз заявила, що вони спостерігали, як злочинець сканував Інтернет у пошуках потенційних цілей за допомогою відкритого порту 3389 протоколу віддаленого робочого столу (RDP), власного протоколу, який надає користувачеві графічний інтерфейс для підключення до іншого комп’ютера через підключення до мережі.
У дослідженні говориться, що кампанія починається з фішингового електронного листа «і запускає багатоетапний ланцюжок атак, у якому актор доставляє шкідливе програмне забезпечення або програмне забезпечення-вимагач, а потім видаляє докази шкідливих файлів, покриваючи їхні сліди та складний аналіз».
Фішинговий електронний лист містить шкідливий ZIP-файл, який містить сценарій завантажувача BAT, який завантажує інший шкідливий ZIP-файл, коли жертва відкриває його. Зловмисне програмне забезпечення також роздуває пристрій жертви та виконує корисне навантаження, яке є або варіантом GO шкідливого програмного забезпечення Laplas Clipper, або програмним забезпеченням-вимагачем MortalKombat.
«Сценарій завантажувача запустить скинуте корисне навантаження як процес на машині жертви, а потім видалить завантажені та скинуті шкідливі файли, щоб очистити маркери зараження», — йдеться у звіті.
Талос зазначив, що звичайним вектором атаки для злочинців є фішинговий електронний лист, у якому вони видають себе за CoinPayments, законний глобальний платіжний шлюз у криптовалюті.
Щоб листи виглядали ще легітимніше, у них є підроблений відправник «noreply[at]CoinPayments[.]net” і тему електронного листа “[CoinPayments[.]net]Час очікування платежу минув».
У цьому конкретному випадку додається зловмисний ZIP-файл із назвою файлу, що нагадує ідентифікатор транзакції, згаданий у тілі електронного листа, що спонукає жертву розпакувати зловмисне вкладення, щоб переглянути вміст, який є зловмисним завантажувачем BAT.
Загрози програм-вимагачів зростають, а доходи падають
Програми-вимагачі та атаки на кібербезпеку продовжують зростати. Однак жертви все частіше не бажають платити зловмисникам їхні вимоги, згідно з нещодавнім звітом Chainalysis, який показав, що доходи зловмисників від програм-вимагачів минулого року впали на 40%.
Варто зазначити, що на хакерські групи Північної Кореї припадає величезна частка незаконної кіберактивності. Зовсім недавно південнокорейські та американські спецслужби попереджений що хакери з Пхеньяну намагаються вразити «великі міжнародні установи» за допомогою програм-вимагачів.
У грудні 2022 року Касперський також виявлено що BlueNoroff, підгрупа хакерської групи Lazarus, спонсорованої державою Північної Кореї, видає себе за венчурних капіталістів, які хочуть інвестувати в криптостартапи за допомогою нового методу фішингу.