Фейковые обновления против криптоинвесторов: CoinLurker не щадит никого

Злоумышленники используют фальшивые обновления программного обеспечения для распространения нового вредоносного ПО под названием CoinLurker. По информации компании Morphisec, вирус написан на языке Go, а также оснащён передовыми техниками обфускации и антианализа, что делает его эффективным инструментом для современных кибератак.

Атаки осуществляются через поддельные уведомления об обновлениях, распространяемые на взломанных сайтах WordPress, через малвертайзинг, фишинговые письма с ссылками на фейковые страницы обновлений, поддельные CAPTCHA и социальные сети. Все методы используют компонент Microsoft Edge Webview2 для выполнения вредоносного кода.

Особенностью CoinLurker является метод EtherHiding. Заражённые сайты внедряют скрипты, которые через Web3-инфраструктуру загружают финальный вредонос с Bitbucket, маскирующийся под легитимные файлы — например, «UpdateMe.exe» или «SecurityPatch.exe». При этом исполняемые файлы подписаны украденным сертификатом Extended Validation, что помогает обходить защитные механизмы.

Многоуровневый инжектор впоследствии внедряет вредонос в процесс Microsoft Edge («msedge.exe»). CoinLurker активно скрывает свои действия, декодируя полезную нагрузку в памяти во время выполнения и применяя условные проверки и манипуляции с памятью для усложнения анализа.

Основная цель вируса — кража данных из криптовалютных кошельков Bitcoin, Ethereum, Ledger Live и Exodus, а также из приложений Telegram, Discord и FileZilla. Исследователь Надaв Лорбер подчёркивает, что масштабный сбор данных свидетельствует о фокусе на ценной криптовалютной информации и пользовательских учётных данных.

Одновременно эксперты из Silent Push наблюдают рост малвертайзинг-кампаний, нацеленных на профессионалов графического дизайна. С ноября 2024 года злоумышленники используют рекламные объявления в Google Поиске для распространения заражённых загрузок, связанных с FreeCAD, Rhinoceros 3D, Planner 5D и Onshape.