AppsecZone

Хакеры атакуют хакеров, распространяя вредоносное ПО на андеграундных форумах

Хакеры атакуют хакеров, распространяя вредоносное ПО на андеграундных форумах Хакеры атакуют хакеров, распространяя вредоносное ПО на андеграундных форумах Хакеры атакуют хакеров, распространяя вредоносное ПО на андеграундных форумах
25.03.2022

ИБ-специалисты обнаружили новое доказательство того, что хакеры зачастую атакуют даже собственных «коллег по цеху». Малварь, которую распространяли на хак-форумах под видом взломанных RAT и инструментов для создания вредоносных программ, воровала данные из буфера обмена, пишет Хакер.

Вредоносы, ворующие или подменяющие данные в буфере обмена (часто их называют клипперами), обычно используются с целью обнаружения адресов криптовалютных кошельков в буфере, чтобы потом подменить их на адреса, принадлежащие оператору малвари. Такая тактика позволяет злоумышленникам на лету перехватывать финансовые транзакции и отправлять деньги на свои счета.

Первую малварь на андеграундных ресурсах (например, Russia black hat) заметили исследователи из компании ASEC. Злоумышленники заманивали начинающих хакеров взломанными версиями троянов удаленного доступа BitRAT и Quasar RAT, которые обычно продаются по цене от 20 до 100 долларов США.

Если загрузить любой из предложенных файлов, сработает перенаправление на страницу Anonfiles, которая предоставляет RAR-архив, предположительно являющийся билдером выбранной малвари. На самом деле файл crack.exe, содержащийся в этих архивах, представляет собой установщик ClipBanker, который лишь копирует вредоносный бинарник в папку автозагрузки и запускает его при первой же перезагрузке.

Второе сообщение о малвари поступило от экспертов компании Cyble, которые обнаружили на хак-форуме предложение о бесплатном месяце использования AvD Crypto Stealer.

В этом случае жертвы тоже якобы загружали билдер малвари и запускали  исполняемый файл Payload.exe, предполагая, что это предоставит им бесплатный доступ к AvD Crypto Stealer. На самом деле это приводило к заражению их систем клипером (вредонос, ворующий информацию из буфера обмена), который был нацелен на кражу Ethereum, Binance Smart Chain, Fantom, Polygon, Avalanche и Arbitrum.

В Cyble обнаружили, что на биткойн-адрес, жестко закодированный в этом образце малвари, уже поступило около 1,3 BTC (примерно 54 000 долларов США по текущему курсу) посредством перехвата 422 чужих  транзакций.


Комментарии 0


Назад