Твитнуть
ИБ-компания Recorded Future сообщила об обнаружении кроссплатформенной кибератаки, целью которой являются владельцы криптовалют. Злоумышленники продвигают вредоносное ПО через соцсети. Оно замаскировано под приложение для видеоконференций. После установки программа крадет личные данные и цифровые активы пользователя.
В рамках мошеннической кампании продвигаются Vortax и еще более 20 приложений, необходимых для доставки на устройства вредоносов: Rhadamanthys, StealC и Atomic macOS Stealer (AMOS). Как отмечают специалисты, прежде всего атака рассчитана на тех, кто активно пользуется криптовалютами. Организация подобной кампании свидетельствует о том, что под угрозой находятся пользователи всевозможных систем.
Одним из отличительных признаков атаки является попытка легитимизировать Vortax, как официальное приложение для видеозвонков и общения. В соцсетях созданы сообщества и блоги, в которых размещены статьи о программе. Есть даже профиль с галочкой в Х.
Чтобы установить программу, пользователю нужно получить идентификатор – RoomID. Его выдают на “официальном сайте”, либо в связанных Discord и Telegram каналах. При вводе полученного id, жертву перенаправляет на внешний сайт, откуда нужно загрузить установщик, после чего активируется стилер.
В Recorded Future рассказали, что обнаружили организатора кибератак. Это хакер под ником markopolo. Он использует shared-хостинг для всех сборок вредоносного ПО, что позволяет ему тонко настраивать кампанию, “работая” только с теми пользователями, которые могут обеспечить значительную прибыль.
В исследовании также отмечается, что атаки могут реализовываться с помощью недавно обнаруженной активности, целью которой стали пользователи Web3-игр. Этими кампаниями может руководить один и тот же человек или группа злоумышленников.
Представители Recorded Future предполагают, что markopolo может иметь связь с масштабными кражами личных данных, которые затем продаются в даркнете на специальных маркетплейсах (Russian Market, 2easy Shop и др.).
В рамках мошеннической кампании продвигаются Vortax и еще более 20 приложений, необходимых для доставки на устройства вредоносов: Rhadamanthys, StealC и Atomic macOS Stealer (AMOS). Как отмечают специалисты, прежде всего атака рассчитана на тех, кто активно пользуется криптовалютами. Организация подобной кампании свидетельствует о том, что под угрозой находятся пользователи всевозможных систем.
Одним из отличительных признаков атаки является попытка легитимизировать Vortax, как официальное приложение для видеозвонков и общения. В соцсетях созданы сообщества и блоги, в которых размещены статьи о программе. Есть даже профиль с галочкой в Х.
Чтобы установить программу, пользователю нужно получить идентификатор – RoomID. Его выдают на “официальном сайте”, либо в связанных Discord и Telegram каналах. При вводе полученного id, жертву перенаправляет на внешний сайт, откуда нужно загрузить установщик, после чего активируется стилер.
В Recorded Future рассказали, что обнаружили организатора кибератак. Это хакер под ником markopolo. Он использует shared-хостинг для всех сборок вредоносного ПО, что позволяет ему тонко настраивать кампанию, “работая” только с теми пользователями, которые могут обеспечить значительную прибыль.
В исследовании также отмечается, что атаки могут реализовываться с помощью недавно обнаруженной активности, целью которой стали пользователи Web3-игр. Этими кампаниями может руководить один и тот же человек или группа злоумышленников.
Представители Recorded Future предполагают, что markopolo может иметь связь с масштабными кражами личных данных, которые затем продаются в даркнете на специальных маркетплейсах (Russian Market, 2easy Shop и др.).
Комментарий