Мошенники используют сохраненные голосовые в мессенджерах

Мошенники используют сохраненные голосовые в мессенджерах

Мошенники используют сохраненные голосовые в мессенджерах

ВТБ предупреждает о новой уловке мошенников, атакующих пользователей в мессенджерах. Злоумышленники взламывают аккаунт и копируют аудиосообщения жертвы, а затем с их помощью пытаются выманить деньги у ее знакомых.

Чтобы определить подходящую кандидатуру для развода, взломщики изучают переписку жертвы с родными, друзьями и коллегами. Выбрав тему (день рождения общего знакомого, планы на выходные и т. п.), они имитируют продолжение диалога.

Для пущей убедительности обманщики подкрепляют текстовые сообщения голосовыми, из найденных в профиле жертвы. Завоевав доверие, они озвучивают просьбу о финансовой помощи — например, одолжить на пару дней денег для оплаты услуг ЖКХ, с указанием номера карты для перевода.

«Старые схемы всегда обрастают новыми подробностями и хитростями, — комментирует Никита Чугунов, старший вице-президент ВТБ, руководитель департамента цифрового бизнеса. — Будьте бдительны и не поддавайтесь на уговоры, проверяйте информацию через дополнительные каналы связи. Для защиты мы рекомендуем удалять голосовые сообщения из чатов после прослушивания или поставить опцию их автоудаления».

Традиционное телефонное мошенничество, видимо, теряет свою эффективность в России благодаря информированности населения и мерам, принимаемым игроками рынка. В прошлом году ВТБ зафиксировал сокращение количества таких инцидентов на 16% (до 6,5 млн).

Аферисты стали переносить свои схемы в мессенджеры, и защитные сервисы определения номеров пришлось распространять и на эти каналы. Чтобы оградить пользователей от атак с использованием архивных голосовых сообщений (в том числе как основы для ИИ-генераторации аудио), операторы мессенджеров начали внедрять технологии одноразового просмотра и самоудаления таких файлов.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Малыш Chihuahua Stealer знаком с творчеством рэпера из Воронежа

Объявившийся в прошлом месяце облегченный Windows-стилер распространяется через вредоносные документы Google Drive, при открытии которых запускается обфусцированный скрипт PowerShell — загрузчик.

Проведенный в G DATA анализ показал, что новобранец Chihuahua создан на основе .NET, имеет модульную архитектуру и умело уклоняется от обнаружения.

Цепочку заражения запускает небольшой лаунчер, выполняющий Base64-строку с помощью командлета PowerShell. Это позволяет обойти политики запуска скриптов и незаметно внедрить runtime-логику в закодированную полезную нагрузку.

После декодирования скрипт второй ступени преобразует тяжелый обфусцированный пейлоад — удаляет кастомные разделители и заменяет шестнадцатеричные символы ASCII, динамически воссоздавая сценарий третьей ступени. Подобный трюк призван воспрепятствовать детектированию средствами статического анализа и песочницы.

Деобфусцированный скрипт создает запланированное задание на ежеминутный запуск проверки папки «Недавние места» на наличие маркеров инфицирования (файлов .normaldaki). При положительном результате происходит соединение с C2 для получения дальнейших инструкций.

На последней стадии заражения на машину жертвы скачиваются NET-сборка и финальный пейлоад — Chihuahua Stealer (VirusTotal52/72 на 14 мая), который расшифровывается и грузится в память для выполнения.

 

Примечательно, что при запуске вредонос вначале печатает в консоли текст песни из репертуара Джона Гарика — классический образец российского трэпа в транслите. Как оказалось, за это отвечает функция DedMaxim().

 

После столь необычной прелюдии инфостилер приступает к выполнению основных задач:

  • дактилоскопирует зараженную машину (использует WMI для получения имени компьютера и серийного номера диска);
  • крадет данные из браузеров и расширений-криптокошельков, которые находит по списку известных ID;
  • пакует собранную информацию в ZIP-файл с расширением .chihuahua, шифруя его по AES-GCM с помощью Windows CNG API;
  • отправляет добычу на свой сервер по HTTPS.

Завершив работу, зловред тщательно стирает следы своей деятельности — используя стандартные команды, удаляет созданные запланированное задание, временные файлы и консольный вывод.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru