Как мошенники воруют криптовалюту, предлагая работу в криптоиндустрии?
Недавно в сети появились мошенники, которые публикуют фейковые объявления о найме на работу в западных криптокомпаниях для жителей Восточной Европы, чтобы потом украсть данные их кошельков и т.д.
Злоумышленники используют пользовательский загрузчик под названием Enigma Stealer (TrojanSpy.MSIL.ENIGMASTEALER.YXDBC), это модифицированная версия похитителя информации Stealerium (клиппер и кейлоггер).
В своей работе Enigma использует два сервера:
- первый использует Telegram для доставки полезной нагрузки, отправки команд и получения пульса полезной нагрузки;
- второй сервер 193[.]56[.]146[.]29 используется для DevOps и протоколирования.
На каждом этапе полезная нагрузка отправляет журнал выполнения на сервер протоколирования. Поскольку эта вредоносная программа находится в стадии непрерывной разработки, злоумышленник может использовать сервер регистрации для улучшения производительности вредоносной программы.
Помимо этих загрузчиков, мошенники также используют CVE-2015-2291 и уязвимость в драйверах Intel, для загрузки вредоносного драйвера, предназначенного для снижения целостности маркера Microsoft Defender.
Схематично действия мошенников выглядят вот так:
Фейковое "собеседование" начинается с пересылки кандидату вредоносного RAR-архива - в данном случае contract.rar (SHA256: 658725fb5e75ebbcb03bc46d44f048a0f145367eff66c8a1a9dc84eef777a9cc).
В архиве содержатся файлы: Interview questions.txt и Interview conditions.word.exe.
В файле Interview questions.txt содержаться вопросы на русском, украинском, румынском, болгарском, чешском, сербском языках, чтобы войти в доверие к пользователям и притупить внимание перед загрузкой второго файла.
Второй же файл Interview conditions.word.exe (SHA256: 03b9d7296b01e8f3fb3d12c4d80fe8a1bb0ab2fd76f33c5ce11b40729b75fb23) содержит загрузчик Enigma, задача которого - заставить ничего не подозревающих жертв запустить загрузчик, распаковать и запустить полезную нагрузку вторичного этапа.
Вредоносная программа Enigma использует множество тактик, чтобы избежать обнаружения, таких как хэширование API, шифрование строк и нерелевантный код:
Для распаковки полезной нагрузки вредоносная программа использует Compressapi от Microsoft Cabinet с алгоритмом сжатия («COMPRESS_RAW | COMPRESS_ALGORITHM_LZMS»). Фрагмент кода на рисунке демонстрирует, как вредоносная программа загружает и распаковывает file_17.pack ( UpdateTask.dll ).
После загрузки пользователем программа Enigma начинает собирать системную информацию и крадет пользовательскую информацию - токены и пароли из различных веб-браузеров и приложений, таких как Google Chrome, Microsoft Edge, Microsoft Outlook, Telegram, Signal, OpenVPN и других, делает снимки экрана и извлекает содержимое буфера обмена и конфигурации VPN.
Собранная информация затем сжимается а архив и передается злоумышленнику через Telegram, после чего мошенник может использовать ее для продажи другим мошенникам либо хищения криптовалюты жертвы.
Как видим, разработчики вредоносных программы не стоят на месте, и используют высокозапутанные и уклончивые методы наряду с использованием принципов непрерывной интеграции и непрерывной доставки (CI/CD) для непрерывной разработки вредоносного ПО.
Для избежания попадания в подобные ситуации следует быть осторожными на сайтах вакансий, социальных сетях, а также использовать комплексные решения по кибербезопасности , вроде Trend Micro™ XDR, которые способны обнаруживать, сканировать и блокировать вредоносные URL-адреса
Купить и поменять крипту безопасно - тут