Предложение о работе в криптовалюте мечты, вероятно, просто вредоносное ПО
вычисления techradar.com Новости

Предложение о работе в криптовалюте мечты, вероятно, просто вредоносное ПО

11 февраля 2023 г.

В очередной раз были обнаружены хакеры, использующие классическую аферу «фальшивые криптографические задания» для распространения опасного вредоносного ПО. , предупредили эксперты.

Однако вместо привычной северокорейской Lazarus Group на этот раз русские пытаются воспользоваться доверчивыми криптоработниками. Исследователи кибербезопасности из Trend Micro недавно наблюдали, как неназванные российские злоумышленники нацеливались на работников криптовалютной индустрии, расположенных в Восточной Европе.

Они рассылали жертвам электронные письма, предлагая рассмотреть новое предложение о работе в криптофирме. Электронное письмо будет содержать два вложения: один, казалось бы, безопасный файл .txt (под названием «Вопросы для интервью») и один явно вредоносный (под названием «Условия интервью.word.exe»).

Принесите собственный уязвимый драйвер

Атака представляет собой трехэтапную кампанию: если жертва запускает исполняемый файл, она загружает вторую полезную нагрузку, которая использует уязвимость в драйвере Intel, отслеживаемую как CVE-2015-2291. Этот метод, обычно называемый «Принеси свой собственный уязвимый драйвер», позволяет злоумышленникам выполнять команды с привилегиями ядра, и они используют эту возможность для отключения антивирусной защиты.

После отключения антивируса они запускают загрузка третьей полезной нагрузки, представляющей собой вариант вредоносного ПО Stealerium, названного Enigma.

Подробнее

> Познакомьтесь с лучшими брандмауэрами на сегодняшний день

> Это мошенническое предложение о работе просто заразит ваше устройство смертельным вредоносным ПО

> Эти поддельные объявления о приеме на работу в правительстве США распространяют больше вредоносных программ

Вредоносное ПО, полученное из частного канала Telegram, способно извлекать системную информацию, токены браузера, хранящиеся пароли (в настоящее время он нацелен практически на все популярные браузеры, включая Chrome, Edge, Opera и т. д.), данные, хранящиеся в Outlook, Telegram, Signal, OpenVPN и т. д. Более того, Enigma может делать снимки экрана и извлекать содержимое буфера обмена.

Когда она получает то, что хочет, Enigma сжимает все это в архиве Data.zip и отправляет обратно через Telegram.

Хотя Lazarus Group обычно делает поддельные предложения о работе, Trend Micro считает, что на этот раз группа имеет российское происхождение. Судя по всему, на одном из лог-серверов установлена ​​панель Amadey C2, весьма популярная среди российских киберпреступников. Кроме того, на сервере работает «Дениска», вариант Linux, используемый почти исключительно русскими, а часовой пояс по умолчанию на сервере также установлен в Москве.

Через: BleepingComputer

Оригинал

Recent Post

Categories

PREVIOUS ARTICLE
NEXT ARTICLE