16/05/22
Специалисты из Netskope обнаружили новую вредоносную кампанию по распространению известного инфостилера RedLine с помощью поддельных ботов для покупки мистери-боксов Binance.
Мистери-боксы от криптовалютной биржи Binance представляют собой своего рода подарок в коробке, содержащей случайный NFT. Пользователь может купить такую «коробку» на тематических торговых площадках, не зная, что внутри, и в любой момент открыть ее или выставить на продажу. Какой NFT попадется пользователю, неизвестно. Это может быть как обычный токен, так и очень редкий, стоящий миллионы долларов. Однако чаще всего пользователям попадаются обычные.
Мистери-боксы пользуются огромной популярностью, однако маркетплейсы наподобие Binance предлагают их в ограниченном количестве, поэтому для «охоты» за ними заинтересованные покупатели часто используют ботов.
По словам специалистов из Netskope, злоумышленники выложили на YouTube видеоролики, якобы предлагающие бесплатных ботов для поиска мистери-боксов. В них содержится ссылка на GitHub-репозиторий, с которого предположительно можно скачать бота, но на самом деле вместо него обманутые пользователи загружают на свои компьютеры вредоносное ПО RedLine.
Имя загружаемого файла – BinanceNFT.bot_v1.3.zip. В нем содержится исполняемый файл с таким же именем, который является полезной нагрузкой, установщик на Visual C++ и файл README.txt. Для запуска RedLine требуется установщик VC, поскольку программа написана на .NET. В текстовом файле содержится инструкция по установке для жертв.
RedLine является популярным и весьма мощным вредоносным ПО для кражи данных (паролей, файлов cookie, чатов, учетных данных VPN и криптовалютных кошельков), распространяемым множеством хакеров самыми разными способами.
В данной вредоносной кампании RedLine не выполняется на компьютерах в России, Беларуси, Украине, Молдове, Армении, Азербайджане, Казахстане, Узбекистане, Таджикистане и Киргизии.
