Бесплатно Экспресс-аудит сайта:

12.10.2022

Бесплатный сыр бывает только в мышеловке: злоумышленники распространяют вредоносное ПО через NFT-дропы

Вредоносная кампания началась две недели назад, когда пользователи начали получать NFT с названиями "PHANTOMUPDATE.COM" или "UPDATEPHANTOM.COM", якобы являющиеся предупреждениями от создателей криптокошелька Phantom.

Фейковые NFT с вредоносной ссылкой внутри.

При открытии информации о NFT жертва видит уведомление от "разработчиков" криптокошелька, в котором говорится, что выпущено новое обновление безопасности и для его загрузки необходимо как можно скорее посетить веб-сайт из названия или перейти по ссылке, вложенной в сообщение. Если пользователь переходит по ссылке, то на его устройство загружается bat-файл под названием Phantom Update 2022-10-08.bat с DropBox.

Оказавшись на устройстве, батник проверяет, запущен ли он с правами администратора. Если нет, то запросит разрешение на запуск от имени администратора.

Если жертва даст нужное разрешение, то будет запущен PowerShell-скрипт, который расшифровывает все последующие команды для выполнения. Цепочка команд приведет к тому, что с GitHub будет загружен exe-файл под названием windll32.exe и запущен из папки C:Users<username>AppDataLocal.


Вредонос на компьютере жертвы.

По данным VirusTotal, загруженный файл представляет собой инфостилер, который крадет историю браузера, cookie-файлы, сохраненные пароли, а также SSH-ключи и другую информацию. И хотя неизвестно, какой вредонос используется в текущей кампании, в предыдущих атаках злоумышленники заражали жертв программой MarsStealer.

Специалисты считают, что целью текущей кампании является кража криптовалюты с кошельков жертв и компрометация учетных записей на других платформах.

Всем, кто установил поддельное обновление безопасности Phantom, должны немедленно проверить свой компьютер с на наличие вредоносного ПО, перевести все свои криптовалютные средства и активы на другие кошельки, а также сменить пароли на всех сайтах, уделяя особое внимание криптобиржам, банковским счетам и электронной почте.