11/10/22
Вредоносная кампания началась две недели назад, когда пользователи начали получать NFT с названиями "PHANTOMUPDATE.COM" или "UPDATEPHANTOM.COM", якобы являющиеся предупреждениями от создателей криптокошелька Phantom. Это передает Securitylab.
.png?width=515&name=pasted%20image%200%20(37).png)
При открытии информации о NFT жертва видит уведомление от "разработчиков" криптокошелька, в котором говорится, что выпущено новое обновление безопасности и для его загрузки необходимо как можно скорее посетить веб-сайт из названия или перейти по ссылке, вложенной в сообщение. Если пользователь переходит по ссылке, то на его устройство загружается bat-файл под названием Phantom Update 2022-10-08.bat с DropBox.
Оказавшись на устройстве, батник проверяет, запущен ли он с правами администратора. Если нет, то запросит разрешение на запуск от имени администратора.
Если жертва даст нужное разрешение, то будет запущен PowerShell-скрипт, который расшифровывает все последующие команды для выполнения. Цепочка команд приведет к тому, что с GitHub будет загружен exe-файл под названием windll32.exe и запущен из папки C:\Users\<username>\AppData\Local.
По данным VirusTotal, загруженный файл представляет собой инфостилер, который крадет историю браузера, cookie-файлы, сохраненные пароли, а также SSH-ключи и другую информацию. И хотя неизвестно, какой вредонос используется в текущей кампании, в предыдущих атаках злоумышленники заражали жертв программой MarsStealer.
Специалисты считают, что целью текущей кампании является кража криптовалюты с кошельков жертв и компрометация учетных записей на других платформах.
Всем, кто установил поддельное обновление безопасности Phantom, должны немедленно проверить свой компьютер с на наличие вредоносного ПО, перевести все свои криптовалютные средства и активы на другие кошельки, а также сменить пароли на всех сайтах, уделяя особое внимание криптобиржам, банковским счетам и электронной почте.
