Позначка: Криптовалюта

Інвестиційні домени для торгівлі шахрайськими акціями та криптовалютами

На початку 2021 року експерти центру CERT-GIB помітили значне зростання активності фейкових інвесторів. За їхніми словами в останні дев’ять місяців кількість шахрайських доменів зросла до 163%. Фахівці Group-IB зафіксували понад 50 різних схем і 8 тисяч доменів шахрайських інвестиційних проектів, пов’язаних із продажем акцій та цифрової валюти.

Фахівці відзначають, що шахраї частіше користувалися так званими гібридними схемами. Це означає, що крім традиційного фішингу вони використовували підроблені мобільні додатки, які виконували роль терміналів, і навіть організували дзвінки «персональних помічників». Типовими жертвами були ті, хто хотів швидко і без зусиль розбагатіти. Шахраї робили вигідні пропозиції щодо інвестицій у криптовалюту та акції нафтогазових компаній. Але все закінчувалося простою втратою грошей і вкраденими даними банківських карток.

Експерти також зафіксували понад 50 шаблонів цільових веб-сторінок, які описували різні сценарії інвестування. Група з 150 осіб втратила майже 300 мільйонів рублів, купуючи біткоїни під прикриттям фальшивих інвестицій. Шахраї обіцяли потенційним жертвам неймовірні суми від 300 000 до 10 000 000 рублів на місяць. Хоча шахраї не надто морочили собі голови оформленням самих цільових сторінок, просто імітували стиль відомих новинних ресурсів: РБК, Russia Today та Russia-24. За весь спостережуваний період Group-IB відстежила понад 8000 доменів, які, безперечно, залучені до шахрайських схем. Під час свого дослідження вони виявили, що з червня по липень 2021 року один лише зловмисник зареєстрував 322 доменів за допомогою так само лише одного адресу електронної пошти.

Інвестиційні домени для торгівлі шахрайськими акціями та криптовалютами
Один із прикладів шахрайського інвестиційного домену

З кожним роком інвестиційні шахраї створюють все більше хитрих способів дістатися до ваших грошей. І з кожним роком їм це вдається все частіше і частіше, заробляючи мільйони доларів. Експерти підрахували, що кожен десятий інвестор хоч раз в житті піддався шахрайським схемам. Але це не означає, що ви повинні триматися осторонь від індустрії інвестицій взагалі. Просто спробуйте розвинути здоровий скептицизм і вивчіть можливі ознаки шахрайства. Ознайомтеся з наведеними нижче способами шахрайства, тактиками та обходами, щоб уникнути в майбутньому втрати інвестиційних грошей.

Як уникнути інвестиційних шахрайських схем?

Якщо до вас несподівано звернулися з пропозицією інвестування, прийміть до уваги наступне:

  • Перш за все, спочатку запитайте документи. Зазвичай, наприклад, облігації повинні мати циркуляр про розміщення, а біржові інвестиційні фонди, взаємні фонди, акції повинні мати проспект. Попросіть їх, і якщо нічого такого немає, то справа може бути шахрайською;
  • Не поспішайте з рішеннями. За звичайних обставин вам дають час на все обдумати. Але коли “названий”фахівець з інвестицій каже вам, що на це немає часу, можливо таким чином вас лише підганяють, щоб швидше поцупити ваші кошти;
  • Перевірте реєстраційні дані. Належний професіонал з законних інвестицій має бути зареєстрований у відповідному органі. Принаймні, ви також можете перевірити в Google інформацію про особу та все, що у вас викликає підозру;
  • Згадайте загальне правило здорового глузду, а саме, що легких грошей не буває. Не вірте тим, хто обіцяє гарантований прибуток з нульовим ризиком. Інвестиційна галузь завжди несе в собі певний ризик;
  • Не думайте, що ви до чогось зобов’язані. Навіть якщо вам надали якийсь безкоштовний семінар, це ще не означає, що ви щось маєте натомість зробити зі свого боку, чого від вас напевно чекають.

Cryptbot маскується під KMSPico

Спеціалісти з кібер безпеки застерігають всіх ентузіастів піратського програмного забезпечення про поширення криптовалютної зловмисної програми Cryptbot. Вони виявили інцидент, коли цей інфостілер було вбудовано в підроблений інсталятор KMSPico. Хакери використовують різні засоби для поширення шкідливого програмного забезпечення. Нещодавно фахівці спостерігали випадки поширення криптовалютного бота за допомогою «піратського» програмного забезпечення, і, зокрема, хакери маскували його під KMSPico.

Багато хто використовує KMSPico, щоб активувати всі функції продуктів Microsoft Windows і Office без фактичного ліцензійного ключа. Зазвичай організації використовують офіційне ліцензування KMS, щоб встановити сервера KMS у центрі. Після цього вони використовують об’єкти групової політики (GPO), щоб налаштувати канал зв’язку з клієнтами. Це офіційна технологія ліцензування продуктів Microsoft у корпоративних мережах. Разом з цим багато організацій використовують не офіційний KMSPico, який емулює сервер KMS локально в системі, щоб активувати ліцензію кінцевої точки. Простіше кажучи, такі дії лише дають можливість “обійти” ліцензію.

Проблема тут, як і з усім піратським програмним забезпеченням, полягає в тому, що хтось може шукати справжній KMSPico, але замість цього завантажить шкідливе програмне забезпечення.

Проблема тут, як і з усім піратським програмним забезпеченням, полягає в тому, що хтось може шукати справжній KMSPico, але замість цього завантажить шкідливе програмне забезпечення. Численне антивірусне програмне забезпечення детектує подібні програми для обходу ліцензії як потенційно небажані програми (коротко PUP). Ось чому KMSPico часто розповсюджується з інструкціями та застереженнями щодо попередньої деактивації антивірусного програмного забезпечення перед встановленням. Не тільки в такому випадку користувач залишає себе вразливим перед будь-якою потенційною загрозою, але саме завантаження також може піднести “сюрприз”. Microsoft неодноразово наголошували, що вони підтримують лише офіційну активацію своїх продуктів.

Cryptbot маскується під KMSPico
Хто скаже напевно, де справжній KMSPico?

Фахівці вказують на схожість методу розповсюдження Cryptbot до таких шкідливих програм як Yellow Cockatoo/Jupyter. Yellow Cockatoo — це виконання трояна віддаленого доступу .NET (RAT), який запускається в пам’яті та видаляє програми. А Jupyter — це інфостілер, який в першу чергу націлений на браузери Chrome, Firefox і Chromium. Зловмисники використовують шифрувальники, пакувальники та різноманітні методи ухилення, щоб перешкоджати детектуванню інструментами на основі сигнатур, таких як правило YARA та антивірусне програмне забезпечення. У випадку з Cryptbot хакери використовували шифрувальник CypherIT AutoIT, щоб приховати його. Але фахівці з кібербезпеки кажуть, що, незважаючи на значну обфускацію, вони все одно змогли відслідкувати зловмисне програмне забезпечення, роблячи акцент на детекцію поведінки, яка доставляла та деобфускувала зловмисне програмне забезпечення.

Також спеціалісти попереджають, що зловмисне програмне забезпечення Cryptbot збирає конфіденційну інформацію з наступних програм:

  • веб-браузер Vivaldi;
  • веб-браузер CCleaner;
  • веб-браузер Mozilla Firefox;
  • криптовалютний гаманець MultiBitHD;
  • криптовалютний гаманець Monero;
  • криптовалютний гаманець Exodus;
  • криптовалютний гаманець Electrum;
  • криптовалютний гаманець Electron Cash;
  • криптовалютний гаманець Jaxx Liberty;
  • веб-браузер Google Chrome;
  • криптовалютний гаманець Coinomi;
  • Додатки Waves Client і Exchange для криптовалют;
  • Веб-браузер Opera;
  • криптовалютний гаманець Ledger Live;
  • Веб-браузер Brave;
  • веб-браузер Avast Secure;
  • криптовалютний гаманець Atomic.

Хакери використовують Діскорд для розповсюдження троянів та вимагачів

Якщо ви один з тих криптовалютних ентузіастів на Діскорд, то наведена нижче інформація точно для вас. Дослідники з кібербезпеки попереджають про новий вид криптору, який спеціально використовується в атаках на криптовалютні спільноти. Вони кажуть, що під загрозою цього зловмисного програмного забезпечення стоять такі криптоспільноти, як DeFi, NFT і Crypto. Для тих, хто не надто цікавиться усією цією криптовалютною справою, NFT це невзаємозамінні токени. Цей термін позначає унікальні токени, які дають право власності на дані, що зберігаються на блокчейн технології. За декілька років вся індустрія значно зросла, оцінювана вартість якої, складає тепер понад 2,5 трильйона доларів.

Всередині індустрії люди використовують Діскорд, групову платформу для спілкування, де можна приєднатися до будь-якого чату та надсилати один одному приватні повідомлення. Криптору, що атакує такі спільноти фахівці дали назву Бабадеда (за російськомовною назвою плейсхолдера, який використовується в програмі). Криптор легко обходить антивірусну на основі сигнатур детекцію. Під час останніх кампаній зловмисники використовували Бабадеда для доставки RAT, викрадачів інформації та навіть програм-вимагачів LockBit.

Для створення ілюзії справжності у Діскорд хакери застосували ряд заходів

Для проведення кампанії хакер створив бота Діскорд на офіційному каналі компанії. Вони надсилали нічого не підозрююючим жертвам приватні повідомлення із запрошенням завантажити програму, яка дасть користувачеві доступ до нових функцій та/або додаткових переваг. Багато людей прийняли їх за справжні, все виглядало так, ніби вони були прислані від компанії. Повідомлення містили URL-адресу, яка спрямовувала користувача на підроблений сайт. Все було організовано так, щоб користувач завантажив шкідливу програму-інсталятор.

Хакери використовують Діскорд для розповсюдження троянів та вимагачів
“Нібито” справжні повідомлення, що отримували користувачі на Діскорд

Для стоворення ілюзії справжності хакери застосували додаткових мір. Серед них:

  • Підроблена сторінка мала дуже схожий на оригінальну сторінку інтерфейс користувача;
  • Хакери підписували домени сертифікатом (через LetsEncrypt), який вмикав з’єднання HTTPS;
  • Вони також використовували техніку під назвою кіберсквоттинг. Це коли додаються або видаляються літери з оригінального домену або домену верхнього рівня для створення фейкового;

Коли користувач натискав «Завантажити додаток», сайт перенаправляв запит на завантаження на інший домен через /downland.php,. Така схема вможливлювала непоміченість фейковості сайту. Фахівці з кібербезпеки виявили 82 доменів, створені в період з 24 липня 2021 року по 17 листопада 2021 року. Вони також знайшли різні варіанти криптору. Усі вони мали однаковий основний потік виконання. Зловмисники приховували криптор всередині офіційних програм, що ускладнювало його виявлення.

Одразу за тим, як користувач завантажує шкідливий інсталятор через несправжній Діскорд чат, починає виконуватися процес копіювання стиснутих файлів в щойно створену папку з ім’ям цілком непримітного якогось застосунка як “Монітор здоров’я додатків IIS” використовуючи один з наступних шляхів каталогу:
C:\Users\<користувач>\AppData\Local\
C:\Users\\AppData\Roaming\

Короткі технічні деталі роботи криптора

Програма починає встановлення і копіювання шкідливих файлів разом з іншими безкоштовними файлами або файлами з відкритим вихідним кодом. Після завершення видалення файлів починається виконання через основний виконуваний файл. На цьому етапі з’являється фейкове повідомлення про помилку програми, певно зроблено для того, щоб змусити користувача подумати, що програма вийшла з ладу, поки вона все ще продовжує працювати у фоновому режимі. Після ретельного огляду коду функції фахівці з кібербезпеки виявили, що він набагато довший, ніж фактичний код завантаження DLL. Це було зроблено спеціально для того, щоб приховати справжні функціональності програми та ускладнити її виявлення антивірусами. Наступний етап виконання відбувається всередині додаткового файлу, зазвичай це файл PDF або XML. Але фахівці з кібербезпеки відзначають, що вони також спостерігали використання таких файлів, як PNG, Text або JavaScript. Далі слідує складний ряд дій, який занадто довгий, щоб помістити його в одну публікацію.

Будемо коротко. Завершальним етапом є фіксація таблиці адрес імпорту та таблиці переміщення знову введеного PE. І зловмисне програмне забезпечення переходить до точки входу щойно введеного PE з оригінальними аргументами командного рядка.