«Касперский зертханасы» криптоәмияндарға жасалған көпкезеңді күрделі шабуылды анықтады

«Касперский зертханасының» сарапшылары Еуропадағы, АҚШ-тағы және Латын Америкасындағы криптоәмиян иелеріне жаңа, күрделі, көпкезеңді шабуыл жасалғанын анықталды. Ол DoubleFinger жүктеуші троянының көмегімен жүзеге асырылған. Бұл криптоәмияндардан логиндер мен құпиясөздерді ұрлау бағдарламасын іске асыратын күрделі зиян бағдарлама — GreetingGhoul — және Remcos Remote Access Trojan (RAT) трояны. Сарапшылар шабуылдаушылар озық әдістерді қолданатынына және техникалық дағдылардың жоғары деңгейін көрсетіп отырғанына назар аударады.

Шабуыл қалай іске асады? Шабуыл жәбірленуші электрондық поштада зиян PDF қосымшасын ашқаннан кейін басталады. Бұл әрекет DoubleFinger жүктеушісінің бірінші кезеңін бастайды. Тапсырманы жасау үшін оған бес кезең қажет, содан кейін GreetingGhoul стилері күн сайын белгілі бір уақытта орындап отырады.

Стилер өзі екі компоненттен тұрады. Біріншісі MS WebView2 ортасын нақты криптоәмияндардың интерфейсімен қабаттасатын жалған терезелер жасау үшін пайдаланады және қолданушы абайсызда сид-сөйлемді енгізіп жіберуі мүмкін. Екіншісі жәбірленушінің құрылғысында криптоәмияндары бар қосымшаларды іздейді.

Кейбір DoubleFinger үлгілері Remcos RAT троянын жүктеген. Бұл — қаскөйлерге қашықтан басқаруға мүмкіндік беретін танымал коммерциялық құрал. Ол бұған дейін әртүрлі ұйымдарға бағытталған шабуылдарда кездескен.

DoubleFinger шелл-кодтар мен стеганографияны, яғни ақпаратты жасырудың арнайы әдістерін қолданады. Ол сондай-ақ Windows COM-интерфейстер арқылы жасырын орындалуды қамтамасыз етеді және қашықтағы процестерге енгізу үшін заңды процесті зиян процестермен алмастыру техникасына жүгінеді — мұның бәрі шабуылдың күрделілігі мен аса мұқият әзірленгенін растайды. Сонымен қатар, сарапшылар бұл зиян кодта орыс тіліндегі бірнеше мәтін үзінділерін анықтаған, мысалы, пәрмен беру серверінің URL мекенжайы «Privetsvoyu» бұрмаланған транслитерациясындағы орыс сөзінен басталады. Алайда, шабуылдардың артында орыс тілді ұйымдастырушылар тұр деп айтуға бұл дәйек жеткіліксіз.

«Қаскөйлердің криптовалютаға деген қызығушылығы кемімейді. DoubleFinger жүктеушісі мен GreetingGhoul зиянды бағдарламасының артындағы топ мұқият ойластырылған, мақсатты шабуылдар деңгейіндегі зиян бағдарламаны жасай алады. Криптоәмияндарды қорғау — бұл олардың өндірушілерінің, иелерінің және бүкіл мүдделі қоғамдастықтың ортақ жауапкершілігі. Қырағылықты сақтау, сенімді қорғаныс шараларын қолдану және ең өзекті қауіптерді түсіну қатерді азайтуға және құнды цифрлық активтердің қауіпсіздігін қамтамасыз етуге мүмкіндік береді», — дейді «Касперский Зертханасының» киберқауіпсіздік жөніндегі сарапшысы Сергей Ложкин.

Бұл туралы толығырақ ақпаратты мына парақшадан оқуға болады securelist.ru/doublefinger-loader-delivering-greetingghoul-cryptocurrency-stealer/107578/.

«Касперский зертханасы» криптоактивтерді кибершабуылдардан қорғау үшін мынадай кеңіестерді ұсынады:

• аппараттық әмиянды тікелей ресми өндірушіден сатып алу;
• сатып алудан бұрын бұзылу белгілері бар-жоғын тексеріңіз: сызаттар, желім іздері, нашар түйісетін бөлшектер;
• микробағдарлама жаңартуларын өндірушінің веб-сайтында қадағалау;
• әмиян интернетке қосылатын барлық құрылғыны Kaspersky Premium сияқты сенімді шешіммен қорғаңыз;
• аппараттық әмиянға күрделі, бірегей құпиясөзді орнату, ол, мүмкіндік болса, басқа құрылғылар мен аккаунттардың құпиясөздерін қайталамауға тиіс.