Московский геймер потерял 2,5 млн рублей на раскрутке Brawl Stars

Московский геймер потерял 2,5 млн рублей на раскрутке Brawl Stars

Московский геймер потерял 2,5 млн рублей на раскрутке Brawl Stars

Подросток украл у родителей 2,5 млн рублей и “влил” их в ставки компьютерной игры Brawl Stars. Почти 2 млн геймер отправил на Qiwi-кошелек и телефонные номера, оставшуюся сумму отдал мошенникам наличными. Эксперты фиксируют всплеск фейковых сайтов, паразитирующих на популярной игре.

О самом масштабном на сегодняшний день случае мошенничества на почве игровой зависимости пишут “Известия”. В конце ноября в московскую полицию обратилась мать школьника. Подросток украл из семьи 2,5 млн рублей. 1,8 млн рублей он отправил через терминал на Qiwi-кошелек и абонентские номера телефонов, остальные деньги “передал неустановленному лицу”.

Это не единственный случай обмана фанатов мобильных игр, комментируют новость в компании Group-IB. С уходом разработчика Brawl Stars появились новые мошеннические схемы, связанные с продажей игровой валюты.

Их жертвами становятся в основном дети.

Supercell ушла из российских App Store и Google Play в марте. С этого момента эксперты Group-IB выявили уже 250 фейковых сайтов, эксплуатирующих Brawl Stars. Это значительно больше, чем в прошлом году.

Мошенники предлагают купить со скидкой или получить бесплатно внутриигровую валюту — “кристаллы” или “гемы”. Переходя по ссылке, пользователь попадает на страницу, стилизованную под ресурс игры. Его просят ввести личные данные, например никнейм, выбрать операционную систему и бонусы для зачисления.

Сайт имитирует подключение к службам сервиса, проверку никнейма и генерацию бонусов. Затем геймер получает сообщение, что для завершающего этапа необходимо перейти по ссылке на сайт партнера.

“Пользователей зачастую переводили на мошеннические сайты-опросники, рекламные баннеры, фишинг или сайты со встроенным вредоносным программным обеспечением”, — описывает схему ведущий аналитик Group-IB департамента Digital Risk Protection Евгений Егоров.

Фишинговые страницы под видом PlayStation Store предлагали приобрести виртуальные карты для покупок в магазине. Форма оплаты была фишинговая — в результате данные банковских карт и деньги попадали к преступникам.

Мошенники также регулярно создают фейковые магазины, где предлагают игровую консоль по цене значительно ниже рыночной. Для продвижения своих ресурсов они используют тематические Telegram-каналы, чаты и игровые форумы. Также жертва может попасть на сайты мошенников, перейдя по результатам запросов в поисковой системе.

Сами фишинговые страницы киберпреступников стали более сложными. В этом году специалисты Group-IB обнаружили 150 мошеннических ресурсов под популярную платформу дистрибуции компьютерных игр Steam. Для “угона” учетных записей геймеров злоумышленники использовали фишинговую технику Browser-in-the-browser, когда фейки сложно отличить от оригинальных страниц Steam.

Всего в 2022 году компания Group-IB обнаружила 18 тыс. фишинговых сайтов в российском сегменте интернета, что на 15% больше, чем год назад.

Добавим, к концу 2022 года среди мошенников стали популярны платформы наборов для фишинговых кампаний. В “ассортименте” предлагаются готовые фишинговые страницы и формы ввода данных, скрипты для рассылки сообщений жертвам и отправки украденных данных. Этот недорогой способ помогает обойти средства защиты, играя на человеческом факторе.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru