Контакты
Подписка 2024
Удаленный доступ
4 июля. Защищенный удаленный доступ к ИТ-инфраструктуре: как обеспечить контролируемое подключение внешних сотрудников
Регистрируйтесь на онлайн-конференцию!

Enigma, Vector и TgToxic: новые угрозы для держателей криптовалюты

14/02/23

hack5-Feb-14-2023-09-15-01-1512-AM

Исследователи отмечают рост активности зловредного ПО, нацеленного на владельцев криптовалютных счетов. Enigma, Vector и TgToxic — одни из самых популярных криптоугроз последних месяцев. Об этом пишет Securitylab.

Enigma является измененной версией Stealerium, вредоносной программы с открытым исходным кодом на C#, которая действует как стилер, клипер и кейлоггер. Путь заражения начинается с вредоносного архива «.rar», который распространяется через фишинговые платформы по поиску работы или социальные сети. Архив содержит два файла: обычный текстовый документ со списком вопросов соискателю и документ Microsoft Word, выполняющий функцию приманки. Там, например, могут содержаться какие-то сведения о вакансии или организации. Всё сделано для того, чтобы у жертвы не появились подозрения, что он скачал вредонос. Вышеупомянутый файл Microsoft Word выполняет первый этап загрузки вредоноса Enigma.

«Чтобы загрузить полезную нагрузку следующего этапа, вредоносная программа отправляет запрос на контролируемый злоумышленником Telegram-канал, чтобы получить путь к файлу. Этот подход позволяет злоумышленнику постоянно обновлять вредоносные файлы, а также устраняет зависимость от фиксированных названий этих файлов», — заявили исследователи из Trend Micro.

Загрузчик второго этапа, который выполняется с повышенными привилегиями, предназначен для отключения Microsoft Defender и установки третьего этапа полезной нагрузки путем развертывания законно подписанного драйвера Intel в режиме ядра с помощью BYOVD-атаки.

Полезная нагрузка третьего этапа — это сам Enigma Stealer. Вредоносная программа, как и другие стилеры, обладает функциями сбора конфиденциальной информации, записи нажатий клавиш и захвата скриншотов.

Ещё одна вредоносная программа, получившая название Vector Stealer, так же активно используется злоумышленниками в последнее время. Она обладает возможностями для кражи файлов «.rdp», позволяя осуществлять перехват RDP для удаленного доступа, говорится в техническом отчете Cyble.

Цепочки атак, задокументированные компаниями по кибербезопасности, показывают, что данные семейства вредоносных программ чаще всего доставляются на компьютер жертвы через вложения Microsoft Office, содержащие вредоносные макросы. Злоумышленникам всё ещё удаётся успешно эксплуатировать данный метод, несмотря на попытки Microsoft закрыть лазейку.

На мобильных устройствах в группу вредоносных программ, направленных на криптовалютные кошельки, можно отнести TgToxic . Это банковский троян для Android, который похищает учётные данные и средства с криптокошельков, а также из банковских и финансовых приложений. Вредоносная кампания TgToxic продолжается с июля 2022 года и направлена против пользователей мобильных устройств на Тайване, в Таиланде и Индонезии.

«Когда пользователь загружает поддельное приложение с веб-сайта, предоставленного злоумышленником, тот обманом заставляет жертву зарегистрироваться, установить вредоносное ПО и включить необходимые разрешения», — отмечают исследователи из Trend Micro.

Однако кампании социальной инженерии уже давно вышли за рамки простого фишинга. Злоумышленники в последнее время часто создают поддельные страницы, имитирующие популярные криптосервисы, с целью перевода Ethereum и NFT со взломанных кошельков. В эти страницы, как правило, внедряется скрипт Crypto Drainer, который заставляет жертв подключить свои кошельки к сервису, заманивая их выгодными предложениями по чеканке NFT.

«Криптодрайнеры» — это вредоносные скрипты, которые функционируют как электронные скиммеры и используются с использованием фишинговых методов для кражи криптоактивов жертв», — говорится в отчете компании Recorded Future.

Темы:криптовалютыУгрозыTrend MicroRecorded Future
NGFW
28 июня. Комплексный подход к кибербезопасности. Защита АСУ ТП. Безопасность КИИ
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...