Мошенники создали 8 тыс. доменов для торговли акциями и криптовалютой

Мошенники создали 8 тыс. доменов для торговли акциями и криптовалютой

Специалисты компании Group-IB, изучившие активность мошеннических инвестиционных проектов, выявили более 50 различных схем и 8 тысяч доменов, связанных с продажей акций и цифровой валюты.

Эта деятельность рассчитана на тех, кто хочет быстро разбогатеть. Всем желающим предлагают вложить средства в криптовалюту и акции нефтегазовых компаний, а заканчивается всё потерей денег и данных банковских карт.

Как отметили в Group-IB, кибермошенникам полюбились так называемые гибридные схемы, в которых помимо традиционного фишинга используются поддельные мобильные приложения, выступающие в качестве терминалов, и даже звонки «личных консультантов».

Резкий скачок активности таких лжеинвесторов эксперты центра CERT-GIB зафиксировали в начале 2021 года. По данным исследователей, за последние девять месяцев число подобных доменов увеличилось на 163%.

 

За весь период наблюдения Group-IB отметила более 8000 доменов, участвовавших в мошеннических схемах. В период с июня по июль 2021 года только один злоумышленник (с одного адреса электронной почты) зарегистрировал 322 домена.

Также эксперты выявили более 50 шаблонов посадочных веб-страниц, на которых описывались различные инвестиционные сценарии. Попавшись на эту уловку и купив биткоины под видом инвестиций, группа из 150 человек потеряла около 300 миллионов рублей.

 

Лендинг-страницы злоумышленники оформляют без особых изысков, опираясь на стиль всем известных новостных ресурсов: «Россия-24», Russia Today или РБК. Потенциальную жертву пытались заставить поверить в инвестиционные схемы, обещая фантастические заработки — от 300 000 до 10 000 000 рублей в месяц.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

PyPI приостановил регистрацию новых пользователей из-за вредоноса

Популярный репозиторий Python Package Index (PyPI) ограничил возможность регистрации новых пользователей после масштабной вредоносной кампании по распространению трояна, похищающего данные.

PyPI — одно из первых мест, куда идут разработчики на Python, пытаясь найти нужные пакеты. Из-за популярности репозиторий не раз становился объектом внимания киберпреступников.

Именно такую кампанию злоумышленники запустили на днях, из-за чего администраторам PyPI пришлось приостановить регистрацию новых пользователей на площадке.

 

О кибероперации также написали исследователи из Checkmarx. По их словам, атакующие сразу начали с загрузки 365 пакетов, чьи имена были замаскированы под легитимные проекты.

Все злонамеренные пакеты включали вредоносный код в файле «setup.py», который выполнялся в процессе установки. Этот код пытается получить дополнительный пейлоад с удалённого сервера.

Для ухода от детектирования вредонос зашифрован с помощь модуля Fernet, а URL командного центра собирается динамически при необходимости.

Конечный пейлоад представляет собой троян, ворующий данные пользователей, сохранённые в браузерах: логины и пароли, cookies и крипторасширения.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru