Новости «Клубничка» с подвохом: русскоязычные посетители сайтов для взрослых столкнулись с весьма интересной мошеннической уловкой

NewsMaker

I'm just a script
Премиум
8,685
16
8 Ноя 2022
Заботливые хакеры «обновляют Windows» своим жертвам, не забывая про похищение данных.


7jvao7ejvelkbv1y9obmky820s1etc3e.jpg


Вредоносная операция, Для просмотра ссылки Войди или Зарегистрируйся исследователями из Malwarebytes , удивляет наглостью киберпреступников, которые весьма дерзко пытаются обмануть неопытных интернет-пользователей.

В рассмотренной специалистами кампании при посещении фишингового сайта для взрослых потенциальная жертва сталкивается с баннером, требующим подтвердить возраст пользователя. И когда в предвкушении «клубнички» потенциальная жертва нажимает кнопку «Мне есть 18 лет», в браузере разворачивается полноэкранная поддельная анимация обновления Windows, которая, впрочем, сразу выдаёт себя уведомлением «Нажмите ESC, чтобы выйти из полноэкранного режима». Тем не менее, если пользователь не придал этому значения, следом выскакивает другое уведомление, требующее вручную установить «критическое обновление безопасности» почему-то имеющее название «ChromeUpdate.exe».


hq2wb0f72enxrzu86lmqtm0c77nieb4s.gif


Предполагаемое средство обновления Chrome представляет собой так называемый «полностью необнаруживаемый» (Fully UnDetectable, FUD) загрузчик вредоносного ПО под названием «Invalid Printer», о распространении которого, правда немного другими методами, мы Для просмотра ссылки Войди или Зарегистрируйся в апреле. Malwarebytes заявила, что, когда исследователи компании обнаружили «Invalid Printer», ни один антивирусный движок Virus Total не пометил его как вредоносный.

Исследователи отследили более десятка фишинговых веб-сайтов, используемых в этой вредоносной кампании, большинство из которых выдавали себя за сайты для взрослых. Более того, домены верхнего уровня почти всех сайтов были «.ru», что чётко даёт понять, что вся зловредная операция направлена в первую очередь на жителей России и прочих русскоязычных пользователей Интернета.

«Invalid Printer» первым делом после запуска проверяет графическую карту хоста, чтобы определить, запустился вредонос на виртуальной машине или на реальном компьютере. Если программа обнаруживает, что компьютер настоящий, он распаковывает и активирует похититель данных Aurora Infostealer.

Специалисты Malwarebytes считают, что злоумышленники, стоящие за этой кампанией, похоже, особенно заинтересованы в создании трудноопределяемых инструментов. Вероятнее всего, они постоянно загружают новые образцы вредоносов в Virus Total, чтобы проверить, насколько они устойчивы к системам обнаружения.

Жером Сегура, директор по анализу угроз в Malwarebytes, заметил, что каждый раз, когда новый образец впервые отправлялся в Virus Total, он исходил от пользователя из Турции и что во многих случаях имя файла выглядело так, как будто оно было получено только что из компилятора (например, «build1_enc_s.exe»).

Согласно данным Malwarebytes, около 30 тысяч пользователей были перенаправлены на подобные фишинговые сайты, и почти 600 человек загрузили и установили вышеупомянутый «ChromeUpdate.exe», содержащий инфостилер Aurora. Однако больше пользователи одноимённого антивирусного софта не должны «попасться на удочку» хакеров, потому что Malwarebytes теперь с высокой эффективностью выявляет штаммы Aurora, распространяемые таким образом.


220wj9oue8uvtswo31x7z1rf354yn264.png


Антивирус Malwarebytes перехватил «ChromeUpdate.exe»

В своём отчёте Malwarebytes также предоставила технический анализ методов доставки вредоносного ПО и его поведения, а также набор индикаторов компрометации, которые компании и поставщики средств безопасности могут использовать для защиты своих пользователей.
 
Источник новости
www.securitylab.ru

Похожие темы