Carding 4 Carders
Professional
Популярность бразильской системы мгновенных платежей PIX сделала ее выгодной мишенью для злоумышленников, стремящихся получить незаконную прибыль с помощью нового вредоносного ПО под названием GoPIX.
Kaspersky, которая отслеживает активную кампанию с декабря 2022 года, заявила, что атаки осуществляются с использованием вредоносной рекламы, которая показывается, когда потенциальные жертвы ищут "WhatsApp web" в поисковых системах.
"Киберпреступники используют вредоносную рекламу: их ссылки размещаются в разделе объявлений результатов поиска, поэтому пользователь видит их первым", - сказал российский поставщик услуг кибербезопасности. "Если пользователь нажимает на такую ссылку, происходит перенаправление, и пользователь попадает на целевую страницу вредоносного ПО".
Как недавно наблюдалось в других рекламных кампаниях, пользователи, которые нажимают на объявление, будут перенаправлены через службу маскировки, предназначенную для фильтрации "песочниц", ботов и других лиц, которые не считаются настоящими жертвами.
Это достигается с помощью законного решения для предотвращения мошенничества, известного как IPQualityScore, чтобы определить, является ли посетитель сайта человеком или ботом. Пользователям, прошедшим проверку, отображается поддельная страница загрузки WhatsApp, чтобы обманом заставить их загрузить вредоносный установщик.
Интересно, что вредоносная программа может быть загружена с двух разных URL-адресов в зависимости от того, открыт ли порт 27275 на компьютере пользователя.
"Этот порт используется программным обеспечением Avast safe banking", - пояснил Касперский. "При обнаружении этого программного обеспечения загружается ZIP-файл, содержащий файл LNK, в который встроен запутанный скрипт PowerShell, который загружает следующий этап".
В случае закрытия порта напрямую загружается установочный пакет NSIS. Это указывает на то, что дополнительная защита настроена явно для обхода программного обеспечения безопасности и доставки вредоносного ПО.
Основная цель программы установки - извлечь и запустить вредоносную программу GoPIX, используя метод, называемый "опустошение процесса", путем запуска системного процесса Windows в приостановленном состоянии и ввода в него полезной нагрузки. svchost.exe
GoPIX функционирует как вредоносное ПО для кражи буфера обмена, которое перехватывает платежные запросы PIX и заменяет их контролируемой злоумышленником строкой PIX, которая извлекается с сервера командования и управления (C2).
"Вредоносная программа также поддерживает подмену адресов кошельков Bitcoin и Ethereum", - сказал Касперский. "Однако они жестко закодированы в вредоносном ПО и не извлекаются из C2. GoPIX также может получать команды C2, но они связаны только с удалением вредоносного ПО с компьютера".
Это не единственная кампания, нацеленная на пользователей, которые ищут в поисковых системах приложения для обмена сообщениями, такие как WhatsApp и Telegram.
В ходе новой серии атак, сосредоточенных в регионе Гонконг, было обнаружено, что поддельная реклама в результатах поиска Google перенаправляет пользователей на мошеннические страницы-двойники, которые призывают пользователей сканировать QR-код, чтобы связать свои устройства.
"Проблема здесь в том, что QR-код, который вы сканируете, взят с вредоносного сайта, который не имеет ничего общего с WhatsApp", - сказал Жером Сегура, директор по анализу угроз Malwarebytes, в отчете, опубликованном во вторник.
В результате устройство субъекта угрозы привязывается к аккаунтам жертвы в WhatsApp, предоставляя злоумышленнику полный доступ к истории их чатов и сохраненным контактам.
Malwarebytes заявила, что также обнаружила аналогичную кампанию, которая использует Telegram в качестве приманки, чтобы побудить пользователей загрузить поддельный установщик со страницы Google Docs, содержащий вредоносное ПО injector.
Разработка началась после того, как Proofpoint сообщила, что новая версия бразильского банковского трояна под названием Grandoreiro нацелена на жертв в Мексике и Испании, описывая активность как "необычную по частоте и объему".
Компания по корпоративной безопасности приписала кампанию злоумышленнику, которого она отслеживает как TA2725, который известен использованием бразильского банковского вредоносного ПО и фишинга для выявления различных организаций в Бразилии и Мексике.
Нацеленность на Испанию указывает на наметившуюся тенденцию, при которой вредоносные программы, ориентированные на Латинскую Америку, все чаще нацеливаются на Европу. Ранее в мае этого года SentinelOne раскрыла продолжительную кампанию, проводимую бразильским злоумышленником, нацеленную на более чем 30 португальских банков с помощью вредоносного ПО stealer.
Тем временем в экономике киберпреступности процветают похитители информации, а авторы криминальных программ наводняют подпольный рынок предложениями "вредоносное ПО как услуга" (MaaS), которые предоставляют киберпреступникам удобные и экономически эффективные средства для проведения атак.
Более того, такие инструменты снижают барьер для входа для начинающих участников угроз, которым самим может не хватать технических знаний.
Последним, кто присоединился к экосистеме похитителей, является Lumar, который впервые был рекламирован пользователем Collector на форумах по киберпреступности в июле 2023 года, рекламируя свои возможности по перехвату сеансов Telegram, сбору файлов cookie браузера и паролей, извлечению файлов и данных из криптокошельков.
"Несмотря на наличие всех этих функциональных возможностей, вредоносная программа относительно невелика по размеру (всего 50 КБ), что отчасти связано с тем, что она написана на C", - отметил Касперский.
"Появляющееся вредоносное ПО часто рекламируется в темной сети среди менее квалифицированных преступников и распространяется как MAA, позволяя его авторам быстро разбогатеть и снова и снова подвергая опасности законные организации".
Kaspersky, которая отслеживает активную кампанию с декабря 2022 года, заявила, что атаки осуществляются с использованием вредоносной рекламы, которая показывается, когда потенциальные жертвы ищут "WhatsApp web" в поисковых системах.
"Киберпреступники используют вредоносную рекламу: их ссылки размещаются в разделе объявлений результатов поиска, поэтому пользователь видит их первым", - сказал российский поставщик услуг кибербезопасности. "Если пользователь нажимает на такую ссылку, происходит перенаправление, и пользователь попадает на целевую страницу вредоносного ПО".
Как недавно наблюдалось в других рекламных кампаниях, пользователи, которые нажимают на объявление, будут перенаправлены через службу маскировки, предназначенную для фильтрации "песочниц", ботов и других лиц, которые не считаются настоящими жертвами.
Это достигается с помощью законного решения для предотвращения мошенничества, известного как IPQualityScore, чтобы определить, является ли посетитель сайта человеком или ботом. Пользователям, прошедшим проверку, отображается поддельная страница загрузки WhatsApp, чтобы обманом заставить их загрузить вредоносный установщик.
Интересно, что вредоносная программа может быть загружена с двух разных URL-адресов в зависимости от того, открыт ли порт 27275 на компьютере пользователя.
"Этот порт используется программным обеспечением Avast safe banking", - пояснил Касперский. "При обнаружении этого программного обеспечения загружается ZIP-файл, содержащий файл LNK, в который встроен запутанный скрипт PowerShell, который загружает следующий этап".
В случае закрытия порта напрямую загружается установочный пакет NSIS. Это указывает на то, что дополнительная защита настроена явно для обхода программного обеспечения безопасности и доставки вредоносного ПО.
Основная цель программы установки - извлечь и запустить вредоносную программу GoPIX, используя метод, называемый "опустошение процесса", путем запуска системного процесса Windows в приостановленном состоянии и ввода в него полезной нагрузки. svchost.exe
GoPIX функционирует как вредоносное ПО для кражи буфера обмена, которое перехватывает платежные запросы PIX и заменяет их контролируемой злоумышленником строкой PIX, которая извлекается с сервера командования и управления (C2).
"Вредоносная программа также поддерживает подмену адресов кошельков Bitcoin и Ethereum", - сказал Касперский. "Однако они жестко закодированы в вредоносном ПО и не извлекаются из C2. GoPIX также может получать команды C2, но они связаны только с удалением вредоносного ПО с компьютера".
Это не единственная кампания, нацеленная на пользователей, которые ищут в поисковых системах приложения для обмена сообщениями, такие как WhatsApp и Telegram.
В ходе новой серии атак, сосредоточенных в регионе Гонконг, было обнаружено, что поддельная реклама в результатах поиска Google перенаправляет пользователей на мошеннические страницы-двойники, которые призывают пользователей сканировать QR-код, чтобы связать свои устройства.
"Проблема здесь в том, что QR-код, который вы сканируете, взят с вредоносного сайта, который не имеет ничего общего с WhatsApp", - сказал Жером Сегура, директор по анализу угроз Malwarebytes, в отчете, опубликованном во вторник.
В результате устройство субъекта угрозы привязывается к аккаунтам жертвы в WhatsApp, предоставляя злоумышленнику полный доступ к истории их чатов и сохраненным контактам.
Malwarebytes заявила, что также обнаружила аналогичную кампанию, которая использует Telegram в качестве приманки, чтобы побудить пользователей загрузить поддельный установщик со страницы Google Docs, содержащий вредоносное ПО injector.
Разработка началась после того, как Proofpoint сообщила, что новая версия бразильского банковского трояна под названием Grandoreiro нацелена на жертв в Мексике и Испании, описывая активность как "необычную по частоте и объему".
Компания по корпоративной безопасности приписала кампанию злоумышленнику, которого она отслеживает как TA2725, который известен использованием бразильского банковского вредоносного ПО и фишинга для выявления различных организаций в Бразилии и Мексике.
Нацеленность на Испанию указывает на наметившуюся тенденцию, при которой вредоносные программы, ориентированные на Латинскую Америку, все чаще нацеливаются на Европу. Ранее в мае этого года SentinelOne раскрыла продолжительную кампанию, проводимую бразильским злоумышленником, нацеленную на более чем 30 португальских банков с помощью вредоносного ПО stealer.
Тем временем в экономике киберпреступности процветают похитители информации, а авторы криминальных программ наводняют подпольный рынок предложениями "вредоносное ПО как услуга" (MaaS), которые предоставляют киберпреступникам удобные и экономически эффективные средства для проведения атак.
Более того, такие инструменты снижают барьер для входа для начинающих участников угроз, которым самим может не хватать технических знаний.
Последним, кто присоединился к экосистеме похитителей, является Lumar, который впервые был рекламирован пользователем Collector на форумах по киберпреступности в июле 2023 года, рекламируя свои возможности по перехвату сеансов Telegram, сбору файлов cookie браузера и паролей, извлечению файлов и данных из криптокошельков.
"Несмотря на наличие всех этих функциональных возможностей, вредоносная программа относительно невелика по размеру (всего 50 КБ), что отчасти связано с тем, что она написана на C", - отметил Касперский.
"Появляющееся вредоносное ПО часто рекламируется в темной сети среди менее квалифицированных преступников и распространяется как MAA, позволяя его авторам быстро разбогатеть и снова и снова подвергая опасности законные организации".
