Ложный старт: кнопка «Пуск» оказалась трояном для 28 000 пользователей

Ложный старт: кнопка «Пуск» оказалась трояном для 28 000 пользователей

Dr.Web раскрывает схему масштабного обмана на тысячи долларов.

image

Специалисты компании Dr.Web выявили масштабную кампанию по распространению вредоносных программ для криптомайнинга и кражи криптовалют. Злоумышленники маскировали вредоносное ПО под офисные приложения, читы для игр и боты для онлайн-трейдинга, распространяя их через фальшивые страницы на GitHub и YouTube.

Программа, выявленная специалистами, была замаскирована под системный компонент Windows (StartMenuExperienceHost.exe), ответственный за управление меню «Пуск». Вредонос активно взаимодействовал с удалённым хостом и запускал интерпретатор командной строки cmd.exe для выполнения дальнейших действий.

Киберпреступники использовали легитимную сетевую утилиту Ncat, которая в обычных условиях применяется для передачи данных через командную строку. Благодаря обнаружению этого элемента удалось реконструировать цепочку событий и пресечь дальнейшее распространение.

Цепочка заражения

Источник заражений — поддельные страницы на GitHub и YouTube, где пользователи скачивали самораспаковывающийся архив, защищённый паролем. Антивирусы не могут проверять такие архивы из-за их шифрования. Внутри архива находились временные файлы, которые извлекались в системную папку компьютера и инициировали выполнение вредоносных скриптов.

Вредоносные ссылки на скачивания программ с GitHub и YouTube

После выполнения скриптов загружалась библиотека AutoIt, которая использовалась для запуска вредоносных сценариев. В процессе атаки злоумышленники также применяли технику Process Hollowing, при которой доверенные системные процессы заменялись вредоносными кодами. Это позволяло хакерам незаметно майнить криптовалюту и подменять адреса кошельков в буфере обмена, перенаправляя средства на свои счета. По оценкам, таким способом атакующие получили более $6000.

Кампания затронула более 28 000 человек, в основном в России, Беларуси, Казахстане, Украине и Турции. Для защиты рекомендуется скачивать программы только с официальных сайтов, использовать антивирусное ПО и избегать пиратских версий приложений.

Ньютон уронил яблоко. Мы роняем челюсти!

Гравитация научных фактов сильнее, чем вы думаете

Подпишитесь и испытайте интеллектуальное падение