Фишинг и финансовое мошенничество сплелись в сокрушительный хакерский симбиоз.
Быстрорастущая популярность бразильской системы мгновенных платежей привлекла внимание киберпреступников, которые начали использовать новое вредоносное ПО «GoPIX» для незаконного извлечения прибыли.
«Лаборатория Касперского», отслеживавшая рассматриваемую вредоносную кампанию с декабря 2022 года, , что атаки происходят посредством вредоносной рекламы, показываемой пользователям, которые ищут Web» в поисковых системах. При клике на такую рекламу пользователь перенаправляется на страницу с вредоносным ПО.
Как уже неоднократно наблюдалось в других рекламных кампаниях, пользователи, которые нажимают на фишинговое объявление, перенаправляются через службу маскировки, предназначенную для фильтрации «песочниц», ботов и других лиц, которые подходят по критериям настоящих жертв.
Интересно, что вредоносная программа может быть загружена сразу с двух разных -адресов в зависимости от того, открыт ли порт 27275 на компьютере пользователя.
«Этот порт используется программным обеспечением . При обнаружении этого программного обеспечения загружается ZIP-файл, содержащий LNK-файл, в который встроен запутанный скрипт , который и загружает следующий этап заражения».
В случае закрытия порта загружается установочный пакет . Это указывает на то, что дополнительная защита настроена явно для обхода программного обеспечения безопасности и доставки вредоносного ПО.
Основная цель программы установки — извлечь и активировать зловредную программу GoPIX, используя метод, называемый . Хакеры запускают системный процесс «svchost.exe» в приостановленном состоянии и вводят в него вредоносный код.
GoPIX функционирует как вредоносное ПО, крадущее данные из буфера обмена. Оно перехватывает запросы на платежи PIX и заменяет их данными, контролируемыми злоумышленниками.
«Вредоносное ПО также поддерживает подмену адресов кошельков и , — сообщили исследователи. «Однако они жёстко закодированы во вредоносном ПО и не извлекаются с сервера управления».
Стоит отметить, что рассмотренная «Лабораторией Касперского» кампания — далеко не единственная, нацеленная на пользователей, которые ищут в поисковых системах веб-версии мессенджеров WhatsApp или Telegram.
Так, в недавней кампании, специалистами в Гонконге, злоумышленники пытались заставить пользователей сканировать QR-коды для входа в веб-версию WhatsApp на специально созданных фишинговых страницах, в результате чего хакеры получали полный доступ к истории чатов и сохранённым контактам жертв.
Подобные истории служат напоминанием о том, что киберпреступники быстро адаптируются и используют новые возможности для обмана людей. Как бы полезна ни была та или иная технология, её легко можно использовать во вред, воспользовавшись человеческой невнимательностью.
Всегда помните об опасностях в сети и проявляйте повышенную бдительность, чтобы не попасться на крючок киберпреступников.
Подробнее:
Быстрорастущая популярность бразильской системы мгновенных платежей привлекла внимание киберпреступников, которые начали использовать новое вредоносное ПО «GoPIX» для незаконного извлечения прибыли.
«Лаборатория Касперского», отслеживавшая рассматриваемую вредоносную кампанию с декабря 2022 года, , что атаки происходят посредством вредоносной рекламы, показываемой пользователям, которые ищут Web» в поисковых системах. При клике на такую рекламу пользователь перенаправляется на страницу с вредоносным ПО.
Как уже неоднократно наблюдалось в других рекламных кампаниях, пользователи, которые нажимают на фишинговое объявление, перенаправляются через службу маскировки, предназначенную для фильтрации «песочниц», ботов и других лиц, которые подходят по критериям настоящих жертв.
Интересно, что вредоносная программа может быть загружена сразу с двух разных -адресов в зависимости от того, открыт ли порт 27275 на компьютере пользователя.
«Этот порт используется программным обеспечением . При обнаружении этого программного обеспечения загружается ZIP-файл, содержащий LNK-файл, в который встроен запутанный скрипт , который и загружает следующий этап заражения».
В случае закрытия порта загружается установочный пакет . Это указывает на то, что дополнительная защита настроена явно для обхода программного обеспечения безопасности и доставки вредоносного ПО.
Основная цель программы установки — извлечь и активировать зловредную программу GoPIX, используя метод, называемый . Хакеры запускают системный процесс «svchost.exe» в приостановленном состоянии и вводят в него вредоносный код.
GoPIX функционирует как вредоносное ПО, крадущее данные из буфера обмена. Оно перехватывает запросы на платежи PIX и заменяет их данными, контролируемыми злоумышленниками.
«Вредоносное ПО также поддерживает подмену адресов кошельков и , — сообщили исследователи. «Однако они жёстко закодированы во вредоносном ПО и не извлекаются с сервера управления».
Стоит отметить, что рассмотренная «Лабораторией Касперского» кампания — далеко не единственная, нацеленная на пользователей, которые ищут в поисковых системах веб-версии мессенджеров WhatsApp или Telegram.
Так, в недавней кампании, специалистами в Гонконге, злоумышленники пытались заставить пользователей сканировать QR-коды для входа в веб-версию WhatsApp на специально созданных фишинговых страницах, в результате чего хакеры получали полный доступ к истории чатов и сохранённым контактам жертв.
Подобные истории служат напоминанием о том, что киберпреступники быстро адаптируются и используют новые возможности для обмана людей. Как бы полезна ни была та или иная технология, её легко можно использовать во вред, воспользовавшись человеческой невнимательностью.
Всегда помните об опасностях в сети и проявляйте повышенную бдительность, чтобы не попасться на крючок киберпреступников.
Подробнее:
