Популярный словарь синонимов стал невольным пособником криптоджекеров
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Популярный словарь синонимов стал невольным пособником криптоджекеров

Татьяна Никитина 21 Июля 2023 - 15:36
...
Популярный словарь синонимов стал невольным пособником криптоджекеров

Минувшей весной специалисты Центра кибербезопасности F.A.C.C.T. выявили в рунете очередную криптоджекинг-кампанию. В качестве ловушки использовался сайт-словарь синонимов русского языка, ежемесячно собирающий более 5 млн визитов.

Поводом для расследования послужили вредоносные архивы, обнаруженные решением F.A.C.C.T. MXDR на рабочих станциях Windows нескольких компаний-клиентов. Имена файлов выглядели подозрительно: chromium-patch-nightly.00.<три случайных цифры>.<три случайных цифры>.zip.

Анализ показал, что во всех случаях сторонний объект скачивался в папку загрузок (Downloads). Источник помогли выявить артефакты браузера, им оказался популярный русскоязычный сайт-словарь: злоумышленники внедрили скрипт, запускающий процесс установки майнера на компьютерах посетителей.

Перейдя на ресурс, чтобы подобрать синоним, визитер видел страницу ошибки Google Chrome. Параллельно в неотображаемый iframe загружался вредоносный архив с сайта chrome-error[.]co. Примечательно, что ссылка на файл, отправляемая на хост посетителя, создается на лету и через четыре секунды уничтожается.

 

В коде страницы <сайт словаря>/s/<слово> эксперты обнаружили функциональный блок, отвечающий за подгрузку скрипта с IPFS-узла, доступного через Pinata Cloud, а также его исполнение. Этот сценарий скачивает другой скрипт, который проверяет тип ОС и браузера, и, если это Windows и Chrome, подгружает blob-объект (через тот же шлюз Pinata) для отображения обманной страницы-ошибки.

Вредоносный архив содержит дроппер криптомайнера — payload.exe, который после скачивания переименовывается в chromium-patch-nightly.*.exe. Следы его запуска на зараженных хостах (в журналах событий) отсутствовали — по всей видимости, из-за того, что EDR-агент в составе F.A.C.C.T. MXDR автоматом заблокировал исполнение и переместил вредоносный файл в карантин.

Во избежание развития инцидента исследователи провели оповещение клиентов, предоставив общий контекст и рекомендации. Вредоносный скрипт уже убран с сайта-словаря, и популярный ресурс больше не опасен.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Мошенники выдают себя за соцслужбы и предлагают зимние скидки на ЖКХ
Яков Шпунт 28 Ноября 2025 - 15:36
Мошенничество Домашние пользователи
Мошенники выдают себя за соцслужбы и предлагают зимние скидки на ЖКХ

Появилась новая схема телефонного мошенничества, нацеленная на кражу персональных и платёжных данных. Злоумышленники представляются сотрудниками социальных служб или районных управ и проводят так называемые «информационные звонки». В ходе разговора они сообщают о введении «зимних скидок» на услуги ЖКХ и предлагают оформить соответствующие льготы.

О распространении этой схемы РИА Новости рассказал директор продукта «Защитник» МТС Андрей Бийчук.

Мошенники стараются создать впечатление официального обращения, ссылаясь на несуществующие нормативные акты о сезонных льготах. Чтобы «получить» такие льготы, жертве предлагают пройти «подтверждение личности» или «привязку счёта». На деле злоумышленники пытаются выманить одноразовые коды, которые используются для подтверждения банковских операций.

Андрей Бийчук напомнил, что сотрудники государственных учреждений и социальных служб никогда не спрашивают по телефону одноразовые пароли, данные банковских карт или логины и пароли от личных кабинетов.

Все вопросы, связанные с оформлением льгот, решаются исключительно при личном обращении в официальные органы.

Тема ЖКХ давно используется мошенниками. Они выманивают данные, выдавая себя за сотрудников управляющих компаний, активно внедряются в домовые чаты для кражи денег или манипуляции мнением жителей, а также распространяют фальшивые платёжные документы.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Microsoft: группа Storm-2657 перенаправляют зарплаты через взлом HR-систем
Новость
Microsoft: группа Storm-2657 перенаправляют зарплаты через в...
В Android-приложении ChatGPT появятся личные и групповые чаты
Новость
В Android-приложении ChatGPT появятся личные и групповые чат...
Мошенники крадут паспортные данные через фальшивые промокоды на косметику
Новость
Мошенники крадут паспортные данные через фальшивые промокоды...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.