Иранская киберпреступная группа маскировалась под ИБ-компанию

Иранская киберпреступная группа маскировалась под ИБ-компанию

Иранская группа кибершпионов пыталась замаскироваться под одну из ИБ-компаний, публикующую отчеты о вредоносных кампаниях. Идея была в том, чтобы атаковать целевым фишингом пользователей, интересующихся такими отчетами.

Эта APT-группа (advanced persistent threat, развитая устойчивая угроза) известна специалистам под следующими именами: Charming Kitten, Newscaster или Newsbeef.

Киберпреступники скопировали официальный сайт ИБ-компании ClearSky Security, который разместили по адресу clearskysecurity.net (официальный сайт ClearSky находится по адресу ClearSky.com).

«Charming Kitten создали фишинговый сайт, который маскируется под ресурс нашей компании. Они скопировали страницы нашего портала, немного изменив их», — заявили представители легитимной компании ClearSky.

На скриншоте видна измененная часть — функция входа с использованием других площадок.

«Все эти элементы входа буду отправлять ваши данные злоумышленникам. У нашего официального сайта отсутствуют такие возможности», — продолжает компания.

Эксперты полагают, что сайт все еще находится в разработке, так как некоторые страницы отдают ошибку. ClearSky Security считает, что злоумышленникам пока не удалось получить данные пользователей, так как сайт еще слишком сырой.

Charming Kitten представляет собой одну из первых киберпреступных групп Ирана. В последние годы Charming Kitten была крайне активна, она стояла за такими вредоносными кампаниями, как Saffron Rose, Newscaster, StoneDrill.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

В перепрошитых играх, антивирусах и Windows 11 прячется майнер CoinHelper

Специалисты лаборатории Avast Threat Labs проанализировали вредоносную программу CoinHelper, скрывающуюся за русскоязычными версиями популярного софта, и пришли к выводу, что основной удар зловреда пришёлся на российских пользователей.

Как можно понять по названию вредоноса, CoinHelper предназначен для майнинга криптовалюты. Чтобы максимально успешно распространять майнер, злоумышленники прячут его в нелегальных копиях сотни популярных программ и утилит.

Согласно исследованию Avast Threat Labs, CoinHelper можно обнаружить даже в фейковых копиях Google Chrome, Microsoft Office и Windows 11. Более того, преступники скрыли его и в пиратских версиях почти всех топовых антивирусных программ.

В общей сложности эксперты выявили CoinHelper в 2700 программах, среди которых были игры, утилиты, антивирусы и операционные системы. С помощью вредоносного майнера злоумышленникам удалось заработать около 25 миллионов рублей. Большую часть дохода приносит Monero, за ним идут Bitcoin и Ethereum.

С начала прошлого года Avast зафиксировала более 220 тысяч попыток атаковать пользователей. Наиболее атакуемой страной стала Россия — 83 тысяч попыток заражения (38%). Второе место досталось Украине (42 тыс. атак или 19%).

Исследователи посоветовали пользователям крайне осторожно относиться ко взломанным программам, особенно распространяемым на русскоязычных форумах. Например, взломанная версия антивируса Avast, содержащая CoinHelper, выглядела так:

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru