Group IB

Хакеры атакуют хакеров, распространяя вредоносное ПО на андеграундных форумах

25.03.2022
Хакеры атакуют хакеров, распространяя вредоносное ПО на андеграундных форумах

ИБ-специалисты обнаружили новое доказательство того, что хакеры зачастую атакуют даже собственных «коллег по цеху». Малварь, которую распространяли на хак-форумах под видом взломанных RAT и инструментов для создания вредоносных программ, воровала данные из буфера обмена, пишет Хакер.

Вредоносы, ворующие или подменяющие данные в буфере обмена (часто их называют клипперами), обычно используются с целью обнаружения адресов криптовалютных кошельков в буфере, чтобы потом подменить их на адреса, принадлежащие оператору малвари. Такая тактика позволяет злоумышленникам на лету перехватывать финансовые транзакции и отправлять деньги на свои счета.

Первую малварь на андеграундных ресурсах (например, Russia black hat) заметили исследователи из компании ASEC. Злоумышленники заманивали начинающих хакеров взломанными версиями троянов удаленного доступа BitRAT и Quasar RAT, которые обычно продаются по цене от 20 до 100 долларов США.

Если загрузить любой из предложенных файлов, сработает перенаправление на страницу Anonfiles, которая предоставляет RAR-архив, предположительно являющийся билдером выбранной малвари. На самом деле файл crack.exe, содержащийся в этих архивах, представляет собой установщик ClipBanker, который лишь копирует вредоносный бинарник в папку автозагрузки и запускает его при первой же перезагрузке.

Второе сообщение о малвари поступило от экспертов компании Cyble, которые обнаружили на хак-форуме предложение о бесплатном месяце использования AvD Crypto Stealer.

В этом случае жертвы тоже якобы загружали билдер малвари и запускали  исполняемый файл Payload.exe, предполагая, что это предоставит им бесплатный доступ к AvD Crypto Stealer. На самом деле это приводило к заражению их систем клипером (вредонос, ворующий информацию из буфера обмена), который был нацелен на кражу Ethereum, Binance Smart Chain, Fantom, Polygon, Avalanche и Arbitrum.

В Cyble обнаружили, что на биткойн-адрес, жестко закодированный в этом образце малвари, уже поступило около 1,3 BTC (примерно 54 000 долларов США по текущему курсу) посредством перехвата 422 чужих  транзакций.