Хакеры нашли новый способ проникновения в системы криптовалютных и финтех-компаний, используя социальную инженерию. В конце декабря 2024 года исследователи компании ANY.RUN зафиксировали масштабную фишинговую активность, целью которой стало распространение ранее неизвестного вредоносного ПО — Zhong Stealer.
Злоумышленники выдавали себя за клиентов и создавали запросы в службу поддержки через такие платформы, как Zendesk. Они прикрепляли к обращениям ZIP-архивы с вредоносными файлами, убеждая сотрудников открыть их под предлогом срочной помощи. Среди переданных файлов были обнаружены исполняемые EXE-файлы, которые после запуска загружали дополнительные модули и подключались к командному серверу в Гонконге, пишет Securitylab.
Исследователи заметили, что на первых этапах Zhong Stealer практически не распознавался антивирусными программами. Однако с увеличением числа заражений его начали обнаруживать алгоритмы машинного обучения. Чтобы грамотно отслеживать угрозу, эксперты дали вирусу собственное имя.
Запуск Zhong Stealer приводил к немедленному подключению к удалённому серверу, откуда загружались дополнительные компоненты. Среди них оказаась папка, подписанная украденным сертификатом, маскирующийся под обновление антивируса BitDefender. Вредоносное ПО закрепляло себя в системе, изменяя ключи реестра и создавая запланированные задачи, а затем начинало сбор данных. В первую очередь оно анализировало языковые настройки системы, чтобы исключить заражение в определённых регионах.
Основная цель Zhong Stealer — кража учётных данных. Он сканировал браузеры, начиная с Brave и Edge, извлекал сохранённые пароли и передавал их на удалённый сервер через нестандартный порт 1131. Эксперты отметили, что использование таких портов позволяет вирусу обходить традиционные методы обнаружения.