Компанія ESET ― лідер у галузі інформаційної безпеки ― попереджає про поширення інструменту віддаленого доступу (RAT) від виглядом оновлення для офіційного додатку SafeMoon. За допомогою шкідливої програми зловмисники отримують контроль над пристроями користувачів та можуть викрадати їх паролі і гроші.
З моменту свого створення SafeMoon став досить популярним, що спричинено просуванням інфлюенсерами в соціальних мережах. Не залишились осторонь і кіберзлочинці, які почали націлюватись на користувачів криптовалюти.
Зокрема шахраї надсилають користувачам Discord повідомлення від імені офіційного акаунту SafeMoon, в якому повідомляють нібито про нову версію додатку.
Після переходу за посиланням у листі жертва потрапляє на ресурс, подібний до офіційного сайту SafeMoon (рис. 1). Домен, про який вперше повідомив користувач Reddit у серпні 2021 року, також схожий на легітимний, однак містить додаткову букву у кінці. Таким чином зловмисники намагались залишитися непоміченими для більшості користувачів, які поспішають отримати необхідне «оновлення».
Усі зовнішні посилання на сайті є легітимними, за винятком адреси для завантаження нібито офіційного додатку SafeMoon з магазину Google Play. Замість SafeMoon для пристроїв Android завантажується компонент з поширеним стандартним програмним забезпеченням Windows, яке можна використовувати як у легітимних, так і в зловмисних цілях.
Після виконання інсталятор завантажує декілька файлів у систему, включно з інструментом RAT під назвою Remcos. Незважаючи на те, що цей RAT позиціонується як легітимний інструмент, він також продається на підпільних форумах.
Варто зазначити, що Remcos був задіяний у шкідливих кампаніях різних груп кіберзлочинців. Зокрема лише декілька місяців тому дослідники ESET виявили його використання під час операції Spalax, цілями якої були колумбійські організації.
Remcos дозволяє зловмисникам збирати конфіденційні дані жертви. Він може викрадати облікові дані з різних браузерів, зчитувати натискання клавіш, отримувати контроль над вебкамерою та звуком з мікрофона жертви. Також інструмент має можливість завантажувати та розгортати додаткові шкідливі програми на пристрої. Управління цим інструментом здійснюється через командний сервер (C&C), IP-адреса якого додається до завантажених файлів.
Як захиститися від шахраїв – поради спеціалістів
- Остерігайтеся будь-яких невідомих повідомлень на електронну пошту, у соціальних мережах та інших каналах.
- Не натискайте на посилання у підозрілих повідомленнях, особливо від неперевіреного джерела.
- Звертайте увагу на неточності в URL-адресах, а краще вводьте їх самостійно.
- Створюйте надійні та унікальні паролі.
- Використовуйте двофакторну аутентифікацію (2FA) та комплексне рішення з безпеки.
Читайте також:
Шкідливий чи безпечний сайт: як перевірити та на що звертати увагу
Як шахраї використовують імена знаменитостей для виманювання грошей — популярні схеми