Фейковое приложение для криптовалюты шпионит за пользователями

Компания ESET ― лидер в области информационной безопасности ― предупреждает о распространении инструмента для удаленного доступа (RAT) под видом обновления официального приложения SafeMoon. С помощью вредоносной программы злоумышленники получают контроль над устройствами пользователей и могут похищать их пароли и деньги.

С момента своего создания SafeMoon стал достаточно популярным, что вызвано продвижением инфлюенсерамы в социальных сетях. Не остались в стороне и киберпреступники, которые начали нацеливаться на пользователей криптовалюты.

В частности, мошенники присылают пользователям Discord сообщение от имени официального аккаунта SafeMoon, в котором сообщают якобы о новой версии приложения.

После перехода по ссылке в письме жертва попадает на ресурс, подобный официальному сайту SafeMoon (рис. 1). Домен, о котором впервые сообщил пользователь Reddit в августе 2021 года, также похож на легитимный, однако содержит дополнительную букву в конце. Таким образом злоумышленники пытались остаться незамеченными для большинства пользователей, которые спешат получить необходимое «обновление».

Мошенники рассылают информацию от имени официального сервиса SafeMoon. ESET.

Рис. 1. Поддельный и легитимный сайты SafeMoon, август 2021 г.

Все внешние ссылки на сайте являются легитимными, за исключением адреса для загрузки якобы официального приложения SafeMoon из магазина Google Play. Вместо SafeMoon для устройств Android загружается компонент с распространенным стандартным программным обеспечением Windows, которое можно использовать как в легитимных, так и в злонамеренных целях.

После выполнения инсталлятор загружает несколько файлов в систему, включая инструмент RAT под названием Remcos. Несмотря на то, что этот RAT позиционируется как легитимный инструмент, он также продается на подпольных форумах.

Стоит отметить, что Remcos был задействован во вредоносных кампаниях различных групп киберпреступников. В частности, только несколько месяцев назад исследователи ESET обнаружили его использование во время операции Spalax, целями которой были колумбийские организации.

Remcos позволяет злоумышленникам собирать конфиденциальные данные жертвы. Он может похищать учетные данные из разных браузеров, считывать нажатия клавиш, получать контроль над вебкамерой и звуком с микрофона жертвы. Также у инструмента есть возможность загружать и разворачивать дополнительные вредоносные программы на устройстве. Управление этим инструментом осуществляется через командный сервер (C&C), IP-адрес которого добавляется к загруженным файлам.

Как защититься от мошенников ― советы специалистов

  1. Остерегайтесь любых неизвестных сообщений на электронную почту, в социальных сетях и других каналах.
  2. Не нажимайте на ссылки в подозрительных сообщениях, особенно от непроверенного источника.
  3. Обращайте внимание на неточности в URL-адресах, а лучше вводите их самостоятельно.
  4. Создавайте надежные и уникальные пароли.
  5. Используйте двухфакторную аутентификацию (2FA) и комплексное решение по безопасности.

 

Читайте также:

Вредоносный ли безопасный сайт: как проверить и на что обращать внимание

Как мошенники используют имена знаменитостей для выманивания денег ― популярные схемы