20/04/21
Avast Threat Lab недавно обнаружила новое вредоносное ПО для кражи криптовалюты –– его назвали HackBoss. По данным исследования Avast, это простая, но эффективная вредоносная программа, которая распространяется через Telegram-канал Hack Boss.
Канал существует с ноября 2018 года и имеет более 2500 подписчиков. В нем авторы публикуют рекламу приложений для проверки уязвимостей или взлома, но при загрузке люди получают вредоносное ПО HackBoss.
После установки HackBoss самостоятельно запускается и ищет адреса кошельков с криптовалютой, которые копируются в буфер обмена. Когда HackBoss обнаруживает адрес кошелька, он заменяет предполагаемый кошелек адресом кошелька авторов HackBoss — и перенаправляет деньги злоумышленникам. Вредоносная полезная нагрузка продолжает работать на компьютере жертвы даже после закрытия пользовательского интерфейса приложения. Если вредоносный процесс завершен — например, через диспетчер задач — он может снова запуститься после загрузки устройства или как задача, запланированная на следующую минуту.
HackBoss проверяет кошельки с криптовалютами Bitcoin, Ethereum, Dogecoin, Litecoin и Monero, при этом большинство из них в валюте Bitcoin. Анализ, проведенный Avast Threat Labs, показал, что жертвы HackBoss в основном находятся в Нигерии и США, и что авторы вредоносного ПО могли получить более полумиллиона долларов (560 451,08 долларов США или 42,5 млн рублей) в виде перенаправленных криптовалют (хотя частично эта сумма может включать прибыль от продаж поддельного ПО).
.png?width=502&name=image002%20(6).png)
На своем канале авторы публикуют сообщения, рекламирующие приложения для проверки уязвимостей или взлома, но при загрузке этих приложений люди получают HackBoss. Такие сообщения содержат ложное описание предполагаемой функциональности и скриншоты пользовательского интерфейса приложения. Иногда в них есть ссылка на канал YouTube (в настоящее время удален) Bank God с рекламным видео.
Через Telegram-каналы можно взаимодействовать с очень широкой аудиторией. Любой желающий может подписаться на определенный канал. При этом только администраторы канала имеют право публиковать сообщения –– и в каждом посте указано название канала как редактора, а не имя конкретного автора-человека.
Hack Boss может быть очень эффективным. Многие люди сегодня имеют вложения в криптовалюте и отправляют их через приложения. Фейковое приложение запускает вредоносный процесс, который постоянно проверяет содержимое буфера обмена и обменивается содержимым – все это может привести к значительным денежным потерям для пользователей. Рано или поздно жертва запустит настоящее приложение для криптовалюты на своем ПК, чтобы отправить кому-то некую сумму. Как только пользователь скопирует адрес кошелька получателя криптовалюты, это известит уже запущенный вредоносный процесс – и он, в свою очередь, изменит адрес кошелька на адрес злоумышленников. Менее внимательный пользователь может нажать на кнопку оплаты, не осознавая, что скопированный адрес кошелька за это время поменялся – и потеряет свои деньги.
"От злоумышленника требуется совсем немного усилий для продвижения таких фейковых приложений, но выгода от этого может быть значительной. Именно это постоянно делают создатели HackBoss. Одноименный Telegram-канал — не единственное место, где продвигают свое вредоносное приложение. Они также ведут блог на сайте cranhan.blogspot [.] Com, который содержит рекламу их приложений, владеют каналами YouTube с промо-видео и размещают рекламу на форумах и обсуждениях", — предупреждает Романа Тесаржова, исследователь вредоносных программ Avast. "Мир криптовалют заманчив и интересен. С каждым скачком роста стоимости биткойнов все больше и больше людей вовлекаются в игру: продажу, добычу и обмен цифровыми активами. Но эта сфера привлекает как честных людей, так и киберпреступников. «Вредоносное ПО для кражи криптовалюты стало обычным явлением", — добавляет Романа.
Больше информации о HackBoss можно найти в публикации Романы Тесаржовой в Avast Decode Blog.
