В рунете найдено 3200 мошеннических сайтов, проводящих лотереи
Главная » Новости

В рунете найдено 3200 мошеннических сайтов, проводящих лотереи

Татьяна Никитина 27 Октября 2021 - 14:09
...
В рунете найдено 3200 мошеннических сайтов, проводящих лотереи

Исследователи из BI.ZONE обнаружили в Сети 3,2 тыс. фейковых магазинов, предлагающих визитерам поучаствовать в розыгрыше призов. Новый способ маскировки, по словам экспертов, может быть связан с грядущим локдауном в России.

Используемая мошенниками схема обмана не нова, в BI.ZONE ее впервые зафиксировали год назад. Посетителю сайта предлагают выбрать коробку с призом, а затем поздравляют с выигрышем смартфона, обещая доставить его в течение нескольких дней. Однако вместо этого после «завершения регистрации» жертву перенаправляют на другие поддельные сайты, которые могут оказаться вредоносными.

Для получения «приза» пользователь также должен разослать информацию о розыгрыше по своим контактам в WhatsApp. По такой же схеме работали ранее злоумышленники, прикрывавшиеся именем «Автоваза».

По всей видимости, очередное ужесточение ограничений в РФ из-за неуступчивого ковида лишило актуальности приманку в виде новенького авто «Лада». С 30 октября по 7 ноября россиянам волей-неволей придется проводить больше времени дома, и посещаемость интернет-магазинов в этот период неизбежно возрастет. Практика показывает, что киберкриминал очень четко отслеживает такие изменения, корректируя свою тактику на лету.

Чтобы не стать жертвой злоумышленников, эксперты советуют проверять информацию о розыгрышах на официальных сайтах организаторов, от имени которых они проводятся. Если сообщение оказалось ложным, стоит уведомить об этом держателя бренда, позаимствованного обманщиками. Также следует помнить, что мошенники могут продвигать свои фальшивки через контекстную рекламу или спонсорские ссылки в результатах поисковой выдачи.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Новый macOS-вредонос с подписью Apple Developer заменяет Ledger Live
Екатерина Быстрова 18 Июля 2025 - 10:29
macOS Трояны Домашние пользователи
Новый macOS-вредонос с подписью Apple Developer заменяет Ledger Live

Специалисты из Jamf Threat Labs нашли новый вариант вредоносной программы для macOS, которая умудрилась пройти все защитные механизмы Apple — она была и подписана, и заверена с использованием настоящего сертификата Apple Developer.

Вредонос назывался Gmeet_updater.app и притворялся обновлением для Google Meet. Распространялся через .dmg-файл — это классика для macOS.

Несмотря на то что приложение было «официально одобрено» Apple, для запуска всё равно использовалась социальная инженерия: жертве нужно было кликнуть правой кнопкой мыши и выбрать «Открыть» — обход Gatekeeper для неподписанных приложений, только тут подпись как бы была.

Программа запускала некое SwiftUI-приложение с названием «Technician Panel» — якобы для отвода глаз, а параллельно связывалась с удалённым сервером и подтягивала дополнительные вредоносные скрипты.

Что делает этот инфостилер:

  • ворует пароли из браузеров (Safari, Chrome, Firefox, Brave, Opera, Waterfox);
  • вытаскивает текстовые файлы, PDF, ключи, кошельки и заметки Apple;
  • охотится за криптокошельками (Electrum, Exodus, Atomic, Ledger Live);
  • делает слепок системы с помощью system_profiler;
  • заменяет приложение Ledger Live на модифицированную и не подписанную версию с сервера злоумышленника;
  • отправляет всё украденное на хардкоденный сервер hxxp[:]//45.146.130.131/log.

Кроме кражи, вредонос умеет задерживаться в системе: прописывает себя в LaunchDaemons, создаёт скрытые конфиги и использует второй этап атаки — постоянный AppleScript, который «слушает» команды с сервера злоумышленника. Среди них — выполнение shell-скриптов, запуск SOCKS5-прокси и самоуничтожение.

Вишенка на торте — базовая защита от анализа. Если вирус понимает, что его крутят в песочнице, он «молча» прекращает активность и в системе появляется фиктивный демон с аргументом Black Listed.

Jamf выяснили, что сертификат разработчика с ID A2FTSWF4A2 уже использовался минимум в трёх вредоносах. Они сообщили об этом Apple — и сертификат аннулировали. Но осадочек, как говорится, остался: зловред вполне мог обойти все базовые фильтры macOS.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Фишинговая атака на CRM: пострадали 25 компаний малого и среднего бизнеса
Новость
Фишинговая атака на CRM: пострадали 25 компаний малого и сре...
Мошенники выдают себя за фонд «Защитники Отечества» перед 9 Мая
Новость
Мошенники выдают себя за фонд «Защитники Отечества» перед 9...
СКДПУ НТ 2.3.2 получила поддержку распределённой архитектуры
Новость
СКДПУ НТ 2.3.2 получила поддержку распределённой архитектуры

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.