Support81
Модератор
Фишинг и финансовое мошенничество сплелись в сокрушительный хакерский симбиоз.
Быстрорастущая популярность бразильской системы мгновенных платежей PIX привлекла внимание киберпреступников, которые начали использовать новое вредоносное ПО «GoPIX» для незаконного извлечения прибыли.
«Лаборатория Касперского», отслеживавшая рассматриваемую вредоносную кампанию с декабря 2022 года, сообщила , что атаки происходят посредством вредоносной рекламы, показываемой пользователям, которые ищут «WhatsApp Web» в поисковых системах. При клике на такую рекламу пользователь перенаправляется на страницу с вредоносным ПО.
Как уже неоднократно наблюдалось в других рекламных кампаниях, пользователи, которые нажимают на фишинговое объявление, перенаправляются через службу маскировки, предназначенную для фильтрации «песочниц», ботов и других лиц, которые подходят по критериям настоящих жертв.
Интересно, что вредоносная программа может быть загружена сразу с двух разных URL-адресов в зависимости от того, открыт ли порт 27275 на компьютере пользователя.
«Этот порт используется программным обеспечением Avast Safe Banking. При обнаружении этого программного обеспечения загружается ZIP-файл, содержащий LNK-файл, в который встроен запутанный скрипт PowerShell, который и загружает следующий этап заражения».
В случае закрытия порта загружается установочный пакет NSIS. Это указывает на то, что дополнительная защита настроена явно для обхода программного обеспечения безопасности и доставки вредоносного ПО.
Основная цель программы установки — извлечь и активировать зловредную программу GoPIX, используя метод, называемый «Process Hollowing». Хакеры запускают системный процесс «svchost.exe» в приостановленном состоянии и вводят в него вредоносный код.
GoPIX функционирует как вредоносное ПО, крадущее данные из буфера обмена. Оно перехватывает запросы на платежи PIX и заменяет их данными, контролируемыми злоумышленниками.
«Вредоносное ПО также поддерживает подмену адресов кошельков Bitcoin и Ethereum», — сообщили исследователи. «Однако они жёстко закодированы во вредоносном ПО и не извлекаются с сервера управления».
Стоит отметить, что рассмотренная «Лабораторией Касперского» кампания — далеко не единственная, нацеленная на пользователей, которые ищут в поисковых системах веб-версии мессенджеров WhatsApp или Telegram.
Так, в недавней кампании, обнаруженной специалистами Malwarebytes в Гонконге, злоумышленники пытались заставить пользователей сканировать QR-коды для входа в веб-версию WhatsApp на специально созданных фишинговых страницах, в результате чего хакеры получали полный доступ к истории чатов и сохранённым контактам жертв.
Подобные истории служат напоминанием о том, что киберпреступники быстро адаптируются и используют новые возможности для обмана людей. Как бы полезна ни была та или иная технология, её легко можно использовать во вред, воспользовавшись человеческой невнимательностью.
Всегда помните об опасностях в сети и проявляйте повышенную бдительность, чтобы не попасться на крючок киберпреступников.
Подробнее: https://www.securitylab.ru/news/543025.php
Быстрорастущая популярность бразильской системы мгновенных платежей PIX привлекла внимание киберпреступников, которые начали использовать новое вредоносное ПО «GoPIX» для незаконного извлечения прибыли.
«Лаборатория Касперского», отслеживавшая рассматриваемую вредоносную кампанию с декабря 2022 года, сообщила , что атаки происходят посредством вредоносной рекламы, показываемой пользователям, которые ищут «WhatsApp Web» в поисковых системах. При клике на такую рекламу пользователь перенаправляется на страницу с вредоносным ПО.
Как уже неоднократно наблюдалось в других рекламных кампаниях, пользователи, которые нажимают на фишинговое объявление, перенаправляются через службу маскировки, предназначенную для фильтрации «песочниц», ботов и других лиц, которые подходят по критериям настоящих жертв.
Интересно, что вредоносная программа может быть загружена сразу с двух разных URL-адресов в зависимости от того, открыт ли порт 27275 на компьютере пользователя.
«Этот порт используется программным обеспечением Avast Safe Banking. При обнаружении этого программного обеспечения загружается ZIP-файл, содержащий LNK-файл, в который встроен запутанный скрипт PowerShell, который и загружает следующий этап заражения».
В случае закрытия порта загружается установочный пакет NSIS. Это указывает на то, что дополнительная защита настроена явно для обхода программного обеспечения безопасности и доставки вредоносного ПО.
Основная цель программы установки — извлечь и активировать зловредную программу GoPIX, используя метод, называемый «Process Hollowing». Хакеры запускают системный процесс «svchost.exe» в приостановленном состоянии и вводят в него вредоносный код.
GoPIX функционирует как вредоносное ПО, крадущее данные из буфера обмена. Оно перехватывает запросы на платежи PIX и заменяет их данными, контролируемыми злоумышленниками.
«Вредоносное ПО также поддерживает подмену адресов кошельков Bitcoin и Ethereum», — сообщили исследователи. «Однако они жёстко закодированы во вредоносном ПО и не извлекаются с сервера управления».
Стоит отметить, что рассмотренная «Лабораторией Касперского» кампания — далеко не единственная, нацеленная на пользователей, которые ищут в поисковых системах веб-версии мессенджеров WhatsApp или Telegram.
Так, в недавней кампании, обнаруженной специалистами Malwarebytes в Гонконге, злоумышленники пытались заставить пользователей сканировать QR-коды для входа в веб-версию WhatsApp на специально созданных фишинговых страницах, в результате чего хакеры получали полный доступ к истории чатов и сохранённым контактам жертв.
Подобные истории служат напоминанием о том, что киберпреступники быстро адаптируются и используют новые возможности для обмана людей. Как бы полезна ни была та или иная технология, её легко можно использовать во вред, воспользовавшись человеческой невнимательностью.
Всегда помните об опасностях в сети и проявляйте повышенную бдительность, чтобы не попасться на крючок киберпреступников.
Подробнее: https://www.securitylab.ru/news/543025.php
