Group IB

Россияне создали бесплатный и опасный «генератор QR-кодов» для тех, кто не хочет вакцинироваться

13.12.2021
Россияне создали бесплатный и опасный «генератор QR-кодов» для тех, кто не хочет вакцинироваться

В Рунете получил распространение фальшивый генератор QR-кодов для россиян, не желающих вакцинироваться от коронавируса. Никакие коды он не генерирует, а лишь заражает ПК трояном, ворующим пароли, криптовалюту и деньги и попутно майнящим биткоины во благо злоумышленников. По оценке специалистов, программу и сайт, через который она распространяется, создавал пользователем с минимальными знаниями в ИТ и программировании.

«Бесплатного сыра» не бывает

Российские хакеры начали распространение ПО, позиционирующегося как генератор QR-кодов о прохождении вакцинации. Как сообщили CNews представители компании «Доктор Веб», за ней скрывается хитро спрятанный троян, который, к тому же, подгружает еще два не менее опасных вредоноса.

Распространяется программа через наспех созданный сайт, на котором говорится, что каждый может получить на руки лишь один код, и что до 15 декабря 2021 г. эта услуга якобы полностью бесплатна, а после обойдется всего лишь в 150 руб. Инструкция по установке гласит, что от пользователя требуется лишь ввести свои персональные данные (ФИО и др.), после чего программа сгенерирует код, ведущий на поддельную страницу «Госуслуг» с информацией о подлинности этого самого кода.

Сам сайт имеет дизайн, актуальный на начало XXI века и содержит орфографические и пунктуационные ошибки. Есть и кнопка «Скачать», ведущая на файлообменник Mega, ранее известный как MegaUpload, где и лежит дистрибутив псевдо-генератора QR-кодов.

Троян-матрешка

На файлообменнике, по утверждению специалистов «Доктор Веб», находится exe-файл, то есть исполняемый файл для ОС Windows. На вопрос CNews о доступности программы в версии под Android, macOS или Linux представители компании ответили, что «разработчик» не потрудился сделать свой троян пригодным для запуска где-либо за пределами Windows.

Кто именно разрабатывал программу, остается неизвестным. По мнению экспертов «Доктор Веб», большого багажа знаний в программировании и в ИТ в целом у автора нет. «Человек, похоже, без особых навыков или ресурсов - для создания сайта использовался конструктор сайтов platformalp, для хранения сэмплов бесплатные сервисы Mega, Discord и GitHub», – сообщили они CNews.

Сам по себе файл содержит в себе троян, без ведома пользователя ворующий все его пароли, в том числе и к учетным записям в различных сервисах. Это и социальные сети, и интернет-магазины, и даже интернет-банки, что создает угрозу утечки не только персональных данных, но и денег. В «Доктор Веб» уточнили CNews, что программа также крадет cookie-файлы и данные платежных карт из браузеров и буфера обмена.

Помимо своей основной функции утилита в фоновом режиме подгружает два дополнительных трояна, первый из которых превращает компьютер пользователя в устройство для майнинга криптовалюты. Это сразу повышает нагрузку на основные компоненты ПК, что может ускорить их выход из строя, в том числе из-за перегрева. При этом вся полученная криптовалюта осядет в кошельке хакера – сам пользователь может даже не узнать, что его ПК использовался кем-то для майнинга.

Второй троян, так называемый «клиппер», подменяет скопированные пользователем адреса криптовалютных кошельков и платежных систем на заранее указанные хакером. Например, если пользователь, чей ПК заражен клиппером, хочет отправить деньги на чей-либо криптокошелек и копирует адрес этого кошелька в буфер обмена, то троян увидит это подменит скопированный адрес на указанный мошенником. Транзакция состоится, вот только деньги получит вовсе не требуемый адресат, а тот, кто подсадил на компьютер трояна.

Пока неясно, есть ли в двух дополнительных троянах аналогичная функция скачивания других вредоносов. Если таковая имеется, то ПК пользователя, пожелавшего сгенерировать QR-код вакцинированного, может превратиться в рассадник сомнительного ПО. Если среди таких программ окажется шифровальщик, то пользователь может лишиться всей своей информации.

При всем вышеперечисленном основная функция программы, заявленная разработчиками, не работает. Как сообщили CNews представители «Доктор Веб», у нее даже нет интерфейса, пользователю попросту не с чем взаимодействовать. Другими словами, скачав псевдо-генератор, пользователь не получит заветный «ключ», открывающий перед ним двери кинотеатров, магазинов и других общественных мест, в том числе и городского транспорта.

Очень популярная услуга

На фоне многочисленных ограничений, с которыми сталкиваются россияне, по тем или иным причинам еще не получившие QR-код, в Сети стало появляться все больше сайтов и программ, предлагающих оформить этот код без особого труда. В подавляющем большинстве случаев за такими сервисами стоят мошенники, желающие поживиться персональными данными и деньгами доверчивых россиян.

QR-коды как меры противодействия распространению коронавируса в России начали широко использоваться весной 2021 г. Тогда же Рунет и захлестнула волна поддельных сервисов по их предоставлению и не менее недостоверных копий сайта госуслуг.

И чем дальше, тем этих волн становилось больше. Так, в конце октября 2021 г., когда появилась информация о возможном очередном локдауне, всего за три дня в российском сегменте интернета появилось 48 клонов сайта «Госуслуг».

По данным «Коммерсанта», в «обычные» дни, когда нет угрозы очередной самоизоляции, в день появляется не более двух таких ресурсов. На такие сайты ведут фальшивые QR-коды о вакцинации и прохождении ПЦР-теста. Точное число ныне активных копий «Госуслуг» не установлено. Согласно статистике Минцифры, ежемесячно в блокировку попадают 100-200 таких ресурсов.

«Такие домены злоумышленники могут использовать для продажи фальшивых QR-кодов или же фишинга – доступа к персональным данным пользователя или же заражения его устройства вирусом», – сообщил «Коммерсанту» ведущий аналитик Infosecurity a Softline Company Александр Вураско. С его слов, всплеск роста числа поддельных сайтов госуслуг напрямую связан с ростом спроса на поддельные справки о вакцинации, особенно в период локдаунов.