22 окт 2018 
Fruden 
Fruden Аналитики компании «Доктор Веб» расследовали деятельность киберпреступника, занимающегося мошенничеством на рынке криптовалют.
Мошенник, известный в сети под никами Investimer, Hyipblock и Mmpower, использует в своей деятельности широчайший набор самых распространенных коммерческих троянов. Среди них — стилеры Eredel, AZORult, Kpot, Kratos, N0F1L3, ACRUX, Predator The Thief, Arkei, Pony. Также в арсенале преступника замечен бэкдор Spy-Agent, разработанный на базе приложения TeamViewer, бэкдоры DarkVNC и HVNC, предназначенные для доступа к зараженной машине по протоколу VNC, и еще один бэкдор, созданный на основе ПО RMS. Киберпреступник активно применяет загрузчик Smoke Loader, а ранее использовал Loader by Danij и трояна-майнера, имеющего встроенный модуль для подмены содержимого буфера обмена (клипер).
Управляющие серверы Investimer держит на таких площадках как jino.ru, marosnet.ru и hostlife.net, при этом большинство из них работает под защитой сервиса Cloudflare с целью скрыть истинный IP-адрес этих сетевых ресурсов.
В целом используемая преступником схема обмана пользователей проста. Потенциальную жертву различными методами заманивают на мошеннический сайт, для использования которого требуется скачать некую программу-клиент. Под видом этого клиента жертва загружает трояна, который по команде злоумышленника устанавливает на компьютер другую малварь. Такие вредоносы (в основном трояны-стилеры) похищают с зараженного устройства конфиденциальную информацию, с помощью которой преступник затем крадет с их счетов криптовалюту и деньги, хранящиеся в различных платежных системах.
Преступник специализируется на мошенничестве с криптовалютами в целом и с Dogecoin в частности. Для реализации своих замыслов он создал множество фишинговых сайтов, копирующих реально существующие интернет-ресурсы. Один из них — поддельная криптовалютная биржа, для работы с которой якобы требуется специальная программа-клиент. Под видом этого приложения на компьютер жертвы загружается троян Spy-Agent.Другой «стартап» мошенника — майнинговый пул Dogecoin, который якобы сдается в аренду по очень выгодным ценам. Для работы с этим несуществующим в реальности пулом тоже якобы требуется специальное приложение-клиент, которое загружается на компьютер потенциальной жертвы в запароленном архиве. Наличие пароля не позволяет защитным решениям проанализировать содержимое архива и удалить его еще на этапе скачивания. Внутри же, как несложно догадаться, прячется троян-стилер.
Еще один созданный Investimer’ом мошеннический ресурс посвящен криптовалюте Etherium. Потенциальным жертвам предлагается вознаграждение за просмотр сайтов в сети, для чего им также предлагается установить вредоносную программу под видом специального приложения. Здесь троян начинает загружаться автоматически, при входе посетителя на сайт. Преступник даже озаботился написанием нескольких поддельных отзывов о работе данного сервиса.
Мошенник, известный в сети под никами Investimer, Hyipblock и Mmpower, использует в своей деятельности широчайший набор самых распространенных коммерческих троянов. Среди них — стилеры Eredel, AZORult, Kpot, Kratos, N0F1L3, ACRUX, Predator The Thief, Arkei, Pony. Также в арсенале преступника замечен бэкдор Spy-Agent, разработанный на базе приложения TeamViewer, бэкдоры DarkVNC и HVNC, предназначенные для доступа к зараженной машине по протоколу VNC, и еще один бэкдор, созданный на основе ПО RMS. Киберпреступник активно применяет загрузчик Smoke Loader, а ранее использовал Loader by Danij и трояна-майнера, имеющего встроенный модуль для подмены содержимого буфера обмена (клипер).
Управляющие серверы Investimer держит на таких площадках как jino.ru, marosnet.ru и hostlife.net, при этом большинство из них работает под защитой сервиса Cloudflare с целью скрыть истинный IP-адрес этих сетевых ресурсов.
В целом используемая преступником схема обмана пользователей проста. Потенциальную жертву различными методами заманивают на мошеннический сайт, для использования которого требуется скачать некую программу-клиент. Под видом этого клиента жертва загружает трояна, который по команде злоумышленника устанавливает на компьютер другую малварь. Такие вредоносы (в основном трояны-стилеры) похищают с зараженного устройства конфиденциальную информацию, с помощью которой преступник затем крадет с их счетов криптовалюту и деньги, хранящиеся в различных платежных системах.
Преступник специализируется на мошенничестве с криптовалютами в целом и с Dogecoin в частности. Для реализации своих замыслов он создал множество фишинговых сайтов, копирующих реально существующие интернет-ресурсы. Один из них — поддельная криптовалютная биржа, для работы с которой якобы требуется специальная программа-клиент. Под видом этого приложения на компьютер жертвы загружается троян Spy-Agent.Другой «стартап» мошенника — майнинговый пул Dogecoin, который якобы сдается в аренду по очень выгодным ценам. Для работы с этим несуществующим в реальности пулом тоже якобы требуется специальное приложение-клиент, которое загружается на компьютер потенциальной жертвы в запароленном архиве. Наличие пароля не позволяет защитным решениям проанализировать содержимое архива и удалить его еще на этапе скачивания. Внутри же, как несложно догадаться, прячется троян-стилер.
Еще один созданный Investimer’ом мошеннический ресурс посвящен криптовалюте Etherium. Потенциальным жертвам предлагается вознаграждение за просмотр сайтов в сети, для чего им также предлагается установить вредоносную программу под видом специального приложения. Здесь троян начинает загружаться автоматически, при входе посетителя на сайт. Преступник даже озаботился написанием нескольких поддельных отзывов о работе данного сервиса.
Канал: Hack
88 
0 
6 
0  |  |  |
Для добавления комментариев необходимо авторизоваться
Разрушители
Новая эпическая онлайн-игра от Овермобайл. Битвы...
