Бесплатно Экспресс-аудит сайта:

14.02.2023

Enigma, Vector и TgToxic: новые угрозы для держателей криптовалюты

Исследователи отмечают рост активности зловредного ПО, нацеленного на владельцев криптовалютных счетов. Enigma, Vector и TgToxic — одни из самых популярных криптоугроз последних месяцев.

Enigma является измененной версией Stealerium, вредоносной программы с открытым исходным кодом на C#, которая действует как стилер, клипер и кейлоггер. Путь заражения начинается с вредоносного архива «.rar», который распространяется через фишинговые платформы по поиску работы или социальные сети. Архив содержит два файла: обычный текстовый документ со списком вопросов соискателю и документ Microsoft Word, выполняющий функцию приманки. Там, например, могут содержаться какие-то сведения о вакансии или организации. Всё сделано для того, чтобы у жертвы не появились подозрения, что он скачал вредонос. Вышеупомянутый файл Microsoft Word выполняет первый этап загрузки вредоноса Enigma.

«Чтобы загрузить полезную нагрузку следующего этапа, вредоносная программа отправляет запрос на контролируемый злоумышленником Telegram-канал, чтобы получить путь к файлу. Этот подход позволяет злоумышленнику постоянно обновлять вредоносные файлы, а также устраняет зависимость от фиксированных названий этих файлов», — заявили исследователи из Trend Micro .

Загрузчик второго этапа, который выполняется с повышенными привилегиями, предназначен для отключения Microsoft Defender и установки третьего этапа полезной нагрузки путем развертывания законно подписанного драйвера Intel в режиме ядра с помощью BYOVD -атаки.

Полезная нагрузка третьего этапа — это сам Enigma Stealer. Вредоносная программа, как и другие стилеры, обладает функциями сбора конфиденциальной информации, записи нажатий клавиш и захвата скриншотов.

Ещё одна вредоносная программа, получившая название Vector Stealer, так же активно используется злоумышленниками в последнее время. Она обладает возможностями для кражи файлов «.rdp», позволяя осуществлять перехват RDP для удаленного доступа, говорится в техническом отчете Cyble.

Цепочки атак, задокументированные компаниями по кибербезопасности, показывают, что данные семейства вредоносных программ чаще всего доставляются на компьютер жертвы через вложения Microsoft Office, содержащие вредоносные макросы. Злоумышленникам всё ещё удаётся успешно эксплуатировать данный метод, несмотря на попытки Microsoft закрыть лазейку.

На мобильных устройствах в группу вредоносных программ, направленных на криптовалютные кошельки, можно отнести TgToxic . Это банковский троян для Android, который похищает учётные данные и средства с криптокошельков, а также из банковских и финансовых приложений. Вредоносная кампания TgToxic продолжается с июля 2022 года и направлена против пользователей мобильных устройств на Тайване, в Таиланде и Индонезии.

«Когда пользователь загружает поддельное приложение с веб-сайта, предоставленного злоумышленником, тот обманом заставляет жертву зарегистрироваться, установить вредоносное ПО и включить необходимые разрешения», — отмечают исследователи из Trend Micro.

Однако кампании социальной инженерии уже давно вышли за рамки простого фишинга. Злоумышленники в последнее время часто создают поддельные страницы, имитирующие популярные криптосервисы, с целью перевода Ethereum и NFT со взломанных кошельков. В эти страницы, как правило, внедряется скрипт Crypto Drainer, который заставляет жертв подключить свои кошельки к сервису, заманивая их выгодными предложениями по чеканке NFT.

«Криптодрайнеры» — это вредоносные скрипты, которые функционируют как электронные скиммеры и используются с использованием фишинговых методов для кражи криптоактивов жертв», — говорится в отчете компании Recorded Future.

Согласно общедоступным данным, в 2022 году различные преступные группировки украли криптовалюты на 3,8 млрд. долларов. Солидная сумма, чтобы задуматься о безопасности своего криптокошелька. Большая часть таких атак приписывается хакерским группам, спонсируемым Северной Кореей.