Мошенники украли десятки тысяч долларов на волне интереса к ICO Telegram

Мошенники украли десятки тысяч долларов на волне интереса к ICO Telegram

Мошенники украли десятки тысяч долларов на волне интереса к ICO Telegram

Исследователи «Лаборатории Касперского» обнаружили десятки фальшивых веб-сайтов, якобы продающих токены криптовалюты Gram. По неофициальным данным, циркулирующим в интернете, эту валюту должен запустить Telegram после проведения ICO. Руководство мессенджера официально не подтверждало информацию про ICO, однако предупредило пользователей о всплеске мошеннической активности.

Первые слухи про ICO Telegram появились в конце 2017 года. С помощью продажи токенов компания якобы планировала финансировать собственную блокчейн-платформу на базе технологии TON (Telegram Open Network). В интернете появилась даже техническая документация проекта, однако подтверждения от самого Telegram не поступало. Дефицит информации позволил мошенникам нажиться на интересе потенциальных инвесторов с помощью фальшивых сайтов.

Эксперты «Лаборатории Касперского» нашли десятки страниц в интернете, предлагающих инвестировать в новую платформу, заплатив за участие другими криптовалютами. Анализ транзакций на одном из подобных сайтов определил, что мошенникам удалось украсть по меньшей мере 35 тысяч долларов в Ethereum по курсу на тот момент.

Многие из подобных сайтов выглядят «достоверно». Они используют защищённое соединение (адрес сайта начинается с https://), требуют регистрации и генерируют уникальный онлайн-кошелёк для каждой новой жертвы. Таким образом, отследить движение денег становится очень трудно. В результате даже после того, как Telegram официально предупредил пользователей о мошенниках, у последних всё ещё получалось обманывать людей.

Судя по содержанию мошеннических сайтов, они потенциально могут иметь общих владельцев. Например, на многих из них полностью совпадает содержание раздела «Наша команда», включая некоторых людей, которые, судя по всему, не имеют отношения к Telegram.

«ICO — довольно рискованный вид инвестирования. Многие люди ещё не до конца понимают, как это работает, поэтому неудивительно, что такие внешне достоверные сайты, где есть защищённое соединение и регистрация, успешно находят жертв. Люди, которые хотят вложиться в ICO, должны тщательно проверить компанию, которая его устраивает. Необходимо точно знать, кому вы отдаёте свои деньги. Иначе их можно больше никогда не увидеть», — отметила Надежда Демидова, ведущий контент-аналитик «Лаборатории Касперского».

«Лаборатория Касперского» рекомендует пользователям, планирующим вкладывать деньги в любые ICO, принять следующие меры предосторожности:

  • проверить, нет ли на сайте признаков, которые могут указывать на мошенничество: например, в данном случае некоторые злоумышленники размещали на сайте неправильную фотографию одного из директоров Telegram;
  • как следует подготовиться: обязательно посетить официальный сайт бренда, чтобы проверить легитимность инвестирования, и если это возможно, связаться с командой компании, прежде чем вкладывать в неё деньги;
  • пользоваться надёжными защитными решениями, которые предупредят, если вы зайдёте на фальшивый сайт.
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Coyote — первый вредонос, который шпионит через Windows UI Automation

Исследователи из Akamai зафиксировали реальное применение новой техники кражи данных — теперь банковский троян Coyote использует функции Windows, предназначенные для людей с ограниченными возможностями, чтобы следить за действиями пользователя.

Речь идёт о Microsoft UI Automation (UIA) — это фреймворк, который позволяет программам вроде экранных дикторов считывать содержимое интерфейса. Идея отличная, но в руках злоумышленников она становится инструментом для кражи логинов и паролей.

Троян Coyote появился в начале 2024 года и изначально использовал классические методы вроде кейлоггинга и фишинговых наложений. Теперь он стал умнее. Если раньше вредонос искал в названии окна упоминание банка или криптобиржи, то теперь он «залезает» в сам интерфейс браузера и вытаскивает оттуда адрес сайта — через UIA.

Если троян находит совпадение с одним из 75 заранее зашитых в него сервисов (банки вроде Banco do Brasil, Santander, CaixaBank, и криптобиржи вроде Binance, Electrum, Foxbit), он начинает активную фазу кражи данных. При этом сам метод UIA пока используется только на этапе разведки, но Akamai уже показала, что через него можно считывать и введённые логины, и пароли.

«Если не удаётся определить цель по заголовку окна, Coyote использует UIA, чтобы добраться до элементов интерфейса — вкладок и адресной строки, — и сравнивает найденное с зашитым списком», — говорится в отчёте Akamai.

 

Изначально Akamai предупреждала о такой уязвимости ещё в декабре 2024 года — тогда это была теоретическая угроза. Теперь она стала реальностью.

Особенность подхода — обход защит EDR. UIA не вызывает подозрений у антивирусов и систем мониторинга, потому что считается частью стандартной функциональности Windows. При этом такие же проблемы есть и в Android — там службы доступности давно используются в вредоносах, и Google уже не первый год борется с этой лазейкой.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru