Хакеры обворовывают хакеров, предлагая им поддельное вредоносное ПО

ИБ-специалисты двух компаний обнаружили очередной пример, когда хакеры атакуют своих же коллег по цеху, предлагая им под видом взломанных троянов для удаленного доступа (RAT) и инструментов для создания вредоносного ПО инфостилер, похищающий данные из буфера обмена.

ПО для похищения данных из буфера обмена довольно распространено и используется злоумышленниками для мониторинга содержимого буфера обмена атакуемой системы с целью выявления криптовалютных адресов жертвы и замены их на свои собственные. Таким образом хакеры могут перехватывать финансовые транзакции «на лету» и перенаправлять деньги на свои счета. Как правило, такие стилеры специализируются на популярной криптовалюте, в частности Bitcoin, Ethereum и Monero.

Специалисты компании ASEC обнаружили на хакерских форумах, в том числе на Russia black hat, ПО для похищения данных из буфера обмена, выдаваемое злоумышленниками за взломанные версии троянов BitRAT и Quasar RAT, которые обычно продаются за $20-100. После загрузки ПО жертва направляется на страницу Anonfiles, где ей предлагается RAR-архив, якобы являющийся билдером для выбранного трояна.

Содержащийся в архиве файл crack.exe на самом деле представляет собой установщик вредоносного ПО ClipBanker, который копирует вредоносный код в папку автозагрузки и выполняет его после следующей перезагрузки компьютера.

В свою очередь, специалисты компании Cyble также выявили на хакерских форумах предложения бесплатного использования криптостилера AvD Crypto Stealer в течение месяца. В этом случае, как и в предыдущем, жертва загружает якобы билдер для вредоносного ПО и запускает исполняемый файл Payload.exe, думая, что это предоставит ей бесплатный доступ к криптостилеру.

В итоге, на систему жертвы загружается вредоносное ПО Clipper, способное читать и менять текст, скопированный жертвой, например, данные криптовалютных кошельков. Вредонос атакует кошельки Ethereum, Binance Smart Chain, Fantom, Polygon, Avalanche и Arbitrum.

Как выяснили исследователи, вшитый в данный вариант вредоноса биткойн-адрес получил 1,3 BTC (порядка $54 тыс.), перехватив 422 транзакций.