Троян Realst крадет криптовалюту под видом софта для видеоконференций

Троян Realst крадет криптовалюту под видом софта для видеоконференций

Троян Realst крадет криптовалюту под видом софта для видеоконференций

В Cado Security выявили новую схему распространения инфостилера Realst. Потенциальной жертве поступает деловое предложение; обсудить его можно по видеосвязи, скачав по подсказке профильную программу, а на самом деле — трояна.

Сайт вымышленного поставщика инструментов для видеоконференций заполнен контентом, сгенерированным ИИ; для него также созданы аккаунты в соцсетях. Название фейковой компании с сентября менялось несколько раз; зафиксированы Clusee, Cuesee, Meeten, Meetone и Meetio (текущее).

Сценарии привлечения пользователей на вредоносный сайт различны. Мошенники могут, к примеру, создать в Telegram поддельный аккаунт кого-то из знакомых своей мишени и от его имени озвучить желание обсудить коммерческое предложение по видеосвязи.

Многим жертвам предлагали сотрудничество в качестве инженера Web3. Зафиксирован также случай, когда работнику неназванной компании от ее имени пригласили присоединиться к инвестиционному проекту и даже прислали презентацию.

На всех сайтах мифического разработчика решений для видео-конференц-связи обнаружен JavaScript, который пытается вытащить криптовалюту из расширений кошельков в браузерах. Сценарий отрабатывает еще до загрузки замаскированного Realst, который предлагается в двух версиях: для macOS и Windows.

 

Версия для macOS отдается в виде файла CallCSSetup.pkg (возможен также формат DMG). При его открытии выводятся два сообщения об ошибке: сервер недоступен и несовместимость с версией ОС. Для исправления ситуации предлагается ввести пароль пользователя системы.

 

Чтобы выманить таким образом ключ, позволяющий повысить привилегии, троян использует инструмент командной строки osascript. Аналогичным образом действуют и другие стилеры — Atomic, Cuckoo, MacStealer, Banshee.

Версия Realst для Windows (MeetenApp.exe) распространяется как файл NSIS с валидной цифровой подписью. Сертификат, по словам аналитиков, был украден у британской компании Brys Software.

В инсталлятор встроено приложение Electron, загружающее с внешнего сервера исполняемый файл инфостилера, написанного на Rust. Постоянное присутствие зловреда в системе обеспечивается внесением изменений в реестр.

Троян Realst умеет собирать и отсылать на свой сервер следующую информацию:

  • системные данные;
  • учетки Telegram;
  • данные банковских карт;
  • пароль к связке ключей (macOS-версия);
  • куки и учетки, сохраненные в Google Chrome, Opera, Brave, Microsoft Edge, Arc, CocCoc, Vivaldi;
  • данные криптокошельков Ledger, Trezor, Phantom, Binance.
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Перед 1 декабря мошенники маскируются под налоговую службу

На фоне массовых рассылок уведомлений и напоминаний об уплате налогов перед 1 декабря активизировались злоумышленники, выдающие себя за сотрудников налоговых органов. Их цель — получить доступ к аккаунтам на Госуслугах и завладеть персональными данными граждан.

Как сообщает телеграм-канал «Лапша-медиа», в своих схемах мошенники используют разные поводы для контакта с жертвами:

  • неуплаченные налоги;
  • налоговые задолженности;
  • непредоставление документов;
  • необходимость подачи декларации.

Связаться с потенциальными жертвами аферисты могут через мессенджеры или электронную почту. Они представляются инспекторами и предлагают записаться на приём в налоговую или лично явиться для «решения проблемы».

Главная цель злоумышленников — получить одноразовые коды для входа на Госуслуги или авторизации в других сервисах, включая онлайн-банки. В некоторых случаях мошенники убеждают перейти по вредоносной ссылке или установить приложение.

Иногда жертвам отправляют ссылку для «заполнения налоговой декларации». На деле она ведёт на фишинговый сайт, куда введённые данные попадают напрямую к злоумышленникам.

В «Лапша-медиа» напоминают: официальные органы, включая налоговую службу, никогда не просят сообщать коды авторизации и не предлагают устанавливать приложения по ссылке. Проверить информацию можно только на Госуслугах, на официальном сайте ФНС или по телефону горячей линии 8-800-222-22-22.

Похожие схемы мошенники использовали весной, когда поводом для обращения служили «налоговые вычеты».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru