Злоумышленники создают поддельные сайты с применением ИИ и добавляют в них вредоносные сборки легитимного ПО

Используя такие сборки, атакующие пытаются получить доступ к криптовалютным счетам пользователей в разных странах

«Лаборатория Касперского» обнаружила новую вредоносную кампанию. Злоумышленники генерируют с применением ИИ поддельные сайты, чтобы распространять через них троянизированные сборки легитимного инструмента удалённого доступа Syncro. Если человек скачает такое ПО, атакующие получат полный доступ к его заражённому устройству. Цель злоумышленников — кража ключей от криптокошельков. По данным компании, атакам подвергаются пользователи в Латинской Америке, Азиатско-Тихоокеанском регионе, Европе и Африке.

Как и какие сайты генерируют злоумышленники. Для создания вредоносных страниц атакующие используют ИИ-сервис. Поддельные сайты весьма убедительно имитируют популярные лендинги криптокошельков, защитных решений и менеджеров паролей, хоть и не копируют сайты полностью.

Как потенциальные жертвы попадают на поддельные сайты. Пользователь может столкнуться с вредоносными страницами в поисковой выдаче или фишинговых письмах. Если жертва перейдёт на поддельную страницу, которая имитирует сайт компании — разработчика защитных решений или менеджера паролей, она увидит предупреждение о некой проблеме безопасности. Далее человеку будет предложено скачать ПО, которое якобы позволит эту проблему решить. Это известная тактика: атакующие побуждают жертву скачать вредоносное приложение под видом защиты от несуществующей угрозы.

Что происходит дальше. Если пользователь считает сайт доверенным, скачивает и запускает предлагаемое ПО, он получает на устройство вредоносную сборку Syncro. Легитимный инструмент используют специалисты техподдержки ИТ-отделов в разных компаниях. В данном же случае злоумышленники поучают полный доступ к скомпрометированному устройству жертвы: могут видеть экран, просматривать файлы и выполнять команды.

Решения «Лаборатории Касперского» детектируют вредоносные сборки Syncro как HEUR:Backdoor.OLE2.RA-Based.gen.

«Эта кампания наглядно демонстрирует, как меняется ландшафт киберугроз. Поставив с помощью ИИ генерацию убедительных поддельных сайтов на поток, злоумышленники могут эффективно масштабировать атаки. Однако в своих схемах мошенники, как правило, продолжают делать ставку на доверие пользователей к знакомым брендам и их готовность среагировать на срочное предупреждение. Очень важно помнить, что во время скачивания любого программного обеспечения, даже из, казалось бы, надёжных источников, пользователям необходимо сохранять бдительность», — комментирует Владимир Гурский, эксперт по кибербезопасности в «Лаборатории Касперского».

Для защиты от подобных киберугроз «Лаборатория Касперского» рекомендует:

• не загружать программы из сомнительных источников;
• всегда перепроверять адреса тех страниц, на которых вы находитесь, перед тем как совершить то или иное потенциально опасное действие — будь то загрузка приложения или ввод личных данных;
• использовать надёжное защитное решение от вендора, эффективность технологий которого подтверждается независимыми тестами: оно вовремя распознает угрозу и не позволит установить вредоносную программу на устройство, перейти на фишинговый или скам-ресурс;
• внимательно следить за любыми уведомлениями защитного решения: стоит относиться к ним серьёзно и как минимум проверить, с каким приложением они связаны.