Мошенники украли десятки тысяч долларов на волне интереса к ICO Telegram

Мошенники украли десятки тысяч долларов на волне интереса к ICO Telegram

Исследователи «Лаборатории Касперского» обнаружили десятки фальшивых веб-сайтов, якобы продающих токены криптовалюты Gram. По неофициальным данным, циркулирующим в интернете, эту валюту должен запустить Telegram после проведения ICO. Руководство мессенджера официально не подтверждало информацию про ICO, однако предупредило пользователей о всплеске мошеннической активности.

Первые слухи про ICO Telegram появились в конце 2017 года. С помощью продажи токенов компания якобы планировала финансировать собственную блокчейн-платформу на базе технологии TON (Telegram Open Network). В интернете появилась даже техническая документация проекта, однако подтверждения от самого Telegram не поступало. Дефицит информации позволил мошенникам нажиться на интересе потенциальных инвесторов с помощью фальшивых сайтов.

Эксперты «Лаборатории Касперского» нашли десятки страниц в интернете, предлагающих инвестировать в новую платформу, заплатив за участие другими криптовалютами. Анализ транзакций на одном из подобных сайтов определил, что мошенникам удалось украсть по меньшей мере 35 тысяч долларов в Ethereum по курсу на тот момент.

Многие из подобных сайтов выглядят «достоверно». Они используют защищённое соединение (адрес сайта начинается с https://), требуют регистрации и генерируют уникальный онлайн-кошелёк для каждой новой жертвы. Таким образом, отследить движение денег становится очень трудно. В результате даже после того, как Telegram официально предупредил пользователей о мошенниках, у последних всё ещё получалось обманывать людей.

Судя по содержанию мошеннических сайтов, они потенциально могут иметь общих владельцев. Например, на многих из них полностью совпадает содержание раздела «Наша команда», включая некоторых людей, которые, судя по всему, не имеют отношения к Telegram.

«ICO — довольно рискованный вид инвестирования. Многие люди ещё не до конца понимают, как это работает, поэтому неудивительно, что такие внешне достоверные сайты, где есть защищённое соединение и регистрация, успешно находят жертв. Люди, которые хотят вложиться в ICO, должны тщательно проверить компанию, которая его устраивает. Необходимо точно знать, кому вы отдаёте свои деньги. Иначе их можно больше никогда не увидеть», — отметила Надежда Демидова, ведущий контент-аналитик «Лаборатории Касперского».

«Лаборатория Касперского» рекомендует пользователям, планирующим вкладывать деньги в любые ICO, принять следующие меры предосторожности:

  • проверить, нет ли на сайте признаков, которые могут указывать на мошенничество: например, в данном случае некоторые злоумышленники размещали на сайте неправильную фотографию одного из директоров Telegram;
  • как следует подготовиться: обязательно посетить официальный сайт бренда, чтобы проверить легитимность инвестирования, и если это возможно, связаться с командой компании, прежде чем вкладывать в неё деньги;
  • пользоваться надёжными защитными решениями, которые предупредят, если вы зайдёте на фальшивый сайт.
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Банковский троян Chaes взламывает Google Chrome вредоносными расширениями

Крупная кампания, в которой участвуют более 800 взломанных WordPress-сайтов, распространяет банковский троян, ворующий учётные данные клиентов кредитных организаций. Вредонос получил имя Chaes, о его атаках рассказали специалисты антивирусной компании Avast.

По словам исследователей, операторы трояна распространяют его с конца 2021 года. Взламывая сотни веб-ресурсов, злоумышленники добавляют на них вредоносные скрипты, приводящие к загрузке Chaes на устройства посетителей.

В этой кампании используется уже избитый приём — просьба установить приложение Java Runtime, которое на деле является фейком. К сожалению, многие пользователя, видимо, до сих пор клюют на такие уловки, иначе объяснить заражение невозможно.

 

На компьютер потенциальной жертвы загружается MSI-установщик, который содержит три JavaScript-файла: install.js, sched.js и sucesso.js. Эти «три брата» подготавливают среду Python для дальнейшей компрометации.

Скрипт с именем sched.js создаёт задачу в «Планировщике заданий» и объект автозапуска, таким образом обеспечивая вредоносу плотное закрепление в системе. Файл sucesso.js, как можно понять из его имени, отвечает за передачу командному серверу (C2) информации об успешной установке или о сбое.

А вот скрипт install.js гораздо интереснее своих собратьев, поскольку он может выполнять следующие действия:

  • Проверять интернет-соединение (используя google.com).
  • Создавать директорию %APPDATA%\\\\extensions.
  • Загружать защищённые паролями архивы python32.rar, python64.rar и unrar.exe в упомянутую выше директорию.
  • Записывать путь этой папки в HKEY_CURRENT_USER\\Software\\Python\\Config\\Path.
  • Собирать информацию о системе.
  • Выполнять команду unrar.exe с аргументами для распаковки python32.rar и python64.rar.
  • Подключаться к командному серверу и загружать оттуда зашифрованные пейлоады.

 

Заключительным этапом вредонос устанавливает вредоносные Chrome-расширения. В отчёте Avast перечислены эти аддоны:

  • Online – снимает цифровой отпечаток жертвы и создаёт ключ реестра.
  • Mtps4 – подключается к C2-серверу и ждёт входящих PascalScript. Также может снимать скриншоты и отображать их во весь экран, чтобы скрыть вредоносную активность.
  • Chrolog – крадёт пароли из Google Chrome.
  • Chronodx – представляет собой загрузчик и банковский JS-троян. Работает незаметно и ждёт запуска Chrome.
  • Chremows – крадёт учётные данные от торговых онлайн-площадок.
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru