Крипто-воры активизировались

В начале сентября команда Avast Threat Intelligence зафиксировала всплеск вредоносной активности — фишинговых писем, использующих названия транспортной компании DHL и мексиканской металлургической компании General de Perfiles. Всего Avast обнаружил и заблокировал около 12 тыс. вредоносных электронных писем, распространяющих вредонос BluStealer, который занимается воровством криптовалют с кошельков популярных бирж ArmoryDB, Bytecoin, Jaxx Liberty, Exodus, Electrum, Atomic, Guarda и Coinomi. В число наиболее пострадавших стран входят Россия, Турция, США, Аргентина, Великобритания, Италия, Греция, Испания, Франция, Япония, Индия, Чехия, Бразилия и Румыния. Так, российским пользователям пришло 139 таких писем. Команда Avast Threat Labs обнаружила, что злоумышленники за неделю собрали 94 тыс. долларов (около 6,9 млн руб.), однако это только по одному адресу в биткоин.

Опасность BluStealer

Злоумышленники рассылают жертвам электронные письма, имитирующие дизайн писем DHL. Как правило, в сообщении идет речь о том, что посылка была доставлена в головной офис компании из-за отсутствия получателя на месте. Далее получателю предлагается заполнить вложенный документ, чтобы перенести доставку. Но когда пользователь пытается открыть его, запускается установка BluStealer. В фишинговых кампаниях с General de Perfiles адресаты получают письма о том, что они переплатили по счетам, и что для них был сохранен некий кредит, который будет учтен в счете следующей покупки. Как и в кампании DHL, сообщение General de Perfiles содержит BluStealer во вложении.

Вредоносный код BluStealer сочетает в себе функции программы для перехвата паролей, воровства криптовалют с кошельков популярных бирж и загрузчика вредоносных документов. Он может похищать данные криптовалютных кошельков — например, закрытые ключи и учетные данные, в результате чего жертва может потерять накопления в своей криптовалюте. BluStealer также может находить криптоадреса, скопированные в буфер обмена, и заменять их на заранее заданные злоумышленником: так переводы криптовалюты попадают киберпреступникам, а не законным владельцам. Причем у экспертов Avast есть данные об используемых адресах криптовалютных бирж — например, по адресу https://blockchair.com/bitcoin/address/1ARtkKzd18Z4QhvHVijrVFTgerYEoopjLP можно в режиме реального времени отследить движение средств на одном из адресов злоумышленников.

«Криптовалюты становятся все более популярными: по оценкам биржевой платформы Crypto.com, ими владеют более 100 миллионов человек по всему миру, — пояснил ситуацию исследователь вредоносных программ Avast Ан Хо. —  Кроме того, операции с криптовалютами сложнее отследить и отменить. Все это делает пользователей криптовалют привлекательной целью для киберпреступников. В кампаниях вредоносного спама, которые мы видели, злоумышленники использовали методы социальной инженерии. Они злоупотребляли названиями известных авторитетных компаний, чтобы убедить людей загрузить вложение. Это старый прием — но с новым типом угрозы. Мы рекомендуем сохранять бдительность и дважды подумать, прежде чем открывать любое вложение».

Обычный вредонос

По данным исследователей компании Cyclonis вредонос BluStealer использует классические методы фишинговой атаки, не особо при этом скрываясь. Вот, что сказано о данном вредоносе в блоге компании: «используемые BluStealer методы кражи данных не являются чем-то особенным — один из них основан на протоколе SMTP (электронная почта) и был скопирован из проекта SpyEx. Другой — базовый бот Telegram, который также довольно просто реализовать — эта функция также могла быть скопирована у других злоумышленников. Похоже, что стилер был написан с нуля». Так что разработчики вредоноса воруют не только криптовалютные кошельки, но и технологии для их воровства. К сожалению, вредоносные коды для организации подобной атаки достаточно легко найти или реализовать самостоятельно — особых вложений средств в это не требуется. В то же время атака получается достаточно эффективной. Пока правоохранительные органы не научаться оперативно находить как рассыльщиков спам-писем, так и разработчиков подобного вредоносного ПО подобные атаки будут достаточно популярны особенно в сложные финансовые времена.

Следите за нашими новостями в Телеграм-канале Connect


Поделиться:



Следите за нашими новостями в
Телеграм-канале Connect

Спецпроект

Медицинские задачи для ИИ

Подробнее
Спецпроект

Цифровой Росатом

Подробнее


Подпишитесь
на нашу рассылку