Дослідник KrebsOnSecurity Брайан Кребс розповів про новий тип шахрайства з використанням старого методу, який полягає у тому, щоб змусити користувачів перейти на шкідливі сайти нібито для оновлення браузера. Повідомляє INTERNETUA.
Нове дослідження показує, що зловмисники розробили новий спосіб захистити шкідливе програмне забезпечення від виявлення експертами з безпеки або правоохоронними органами. Вони почали розміщувати шкідливі файли в децентралізованому анонімному блокчейні криптовалюти.
У серпні 2023 року дослідник безпеки Ренді МакЕоін написав про тип шахрайства ClearFake, яке використовує зламані сайти WordPress для розміщення сторінки, на якій стверджується, що користувачеві необхідно оновити браузер перед переглядом контенту. У цьому оповіщення персоналізуються залежно від браузера. Ті, хто натискають кнопку оновлення, автоматично завантажують в систему шкідливий файл, який намагається встановити трояна, що викрадає інформацію.
Цього місяця дослідники тель-авівської фірми Guardio заявили, що вони відстежують оновлену версію ClearFake. Якщо раніше група зберігала шкідливі файли оновлень на Cloudflare, то після блокування їх розмістили як криптовалютних транзакцій у Binance Smart Chain (BSC). Технологія призначена для запуску децентралізованих додатків та «розумних контрактів».
Наті Тал, керівник служби безпеки Guardio Labs, розповів, що шкідливі скрипти, вшиті у зламані сайти WordPress, створюють новий смарт-контракт у блокчейні BSC, починаючи з унікальної, контрольованої зловмисником адреси блокчейну та набору інструкцій. Коли цей контракт запитується зламаним веб-сайтом, він повертає заплутане та шкідливе корисне навантаження.
"Завдяки загальнодоступній і незмінній природі блокчейна код може розміщуватися в мережі без можливості його видалення", - написав Тал. За його словами, ця схема ідеально підходить для зловмисників, оскільки вилучення шкідливого контракту є безкоштовною операцією.
У BNB Smart Chain заявили, що команда обізнана про шкідливе ПЗ і активно вирішує цю проблему. Компанія запевнила, що всі адреси, пов'язані з поширенням шкідливого програмного забезпечення, занесені до чорного списку, а технічні фахівці розробили модель для виявлення майбутніх смарт-контрактів, які використовують аналогічні методи. Технічна група працює над зв'язуванням виявлених адрес, які розповсюджують шкідливі скрипти, з централізованою інформацією KYC («Знай свого клієнта»), коли це можливо.
У Guardio вважають, що шахраї, які стоять за схемою шкідливого ПЗ BSC, використовують той же шкідливий код, що й зловмисники, про які МакЕойн писав у серпні, і, ймовірно, належать до тієї ж групи.
Проте фірма із забезпечення безпеки електронної пошти Proofpoint заявила, що наразі відстежує щонайменше чотири групи зловмисників, які використовують такий метод.
Раніше дослідники безпеки повідомляли, що хакери поширюють шкідливе програмне забезпечення під виглядом оновлення Google Chrome. Вони виявили безліч зламаних веб-сайтів із вбудованим шкідливим JS-кодом. При переході на сайт користувач бачить підроблене повідомлення Chrome про те, що версія браузера застаріла, і тому неможливо відобразити вміст сторінки.
Comments