Вредоносное ПО для кражи криптовалюты распространяется через Telegram

Avast Security Blogger, 19 апреля 2021 г. 18:37:03 CEST
Avast Security Blogger, 19 апреля 2021 г. 18:37:03 CEST

Злоумышленники уже заработали на нем до полумиллиона долларов.

На днях специалисты нашей Лаборатории анализа угроз обнаружили новое вредоносное ПО для кражи криптовалюты, которое назвали HackBoss. Это простая, но эффективная вредоносная программа, которая распространяется через telegram-канал Hack Boss.

Канал существует с ноября 2018 года, имеет более 2500 подписчиков, а в описании коротко описана его суть: «Лучшие программы для хакеров...». В нем авторы предлагают скачать различные приложения для взлома, но при загрузке потенциальные взломщики сами получают вредоносное ПО.

После установки HackBoss самостоятельно запускается и следит за адресами криптокошельков, которые копируются в буфер обмена. Когда HackBoss обнаруживает скопированный адрес кошелька, он заменяет его на кошелек авторов HackBoss. По замыслу авторов, жертва не заметит подмены, так как адреса криптовалютных кошельков — это длинный набор случайных символов.

Вредоносная программа продолжает работать на компьютере жертвы даже после закрытия пользовательского интерфейса приложения. Если вредоносный процесс завершен — например, через диспетчер задач — он может снова запуститься после перезагрузки или как запланированная задача.

Hack Boss может быть очень эффективным. Люди, которые работают с криптовалютой отправляют их через приложения или сервисы. Как только пользователь скопирует адрес кошелька получателя криптовалюты, это известит уже запущенный вредоносный процесс – и он, в свою очередь, изменит адрес кошелька на адрес злоумышленников. Менее внимательный пользователь может нажать на кнопку оплаты, не осознавая, что скопированный адрес кошелька за это время поменялся – и деньги уйдут мошенникам.

HackBoss способен опознавать кошельки с криптовалютами Bitcoin, Ethereum, Dogecoin, Litecoin и Monero. Анализ, проведенный нашими экспертами, показал, что жертвы HackBoss в основном находятся в США, Нигерии и России. 

Судя по поступлениям на кошелек злоумышленников, авторы вредоносного ПО могли получить более полумиллиона долларов (560451 долларов США или 42,5 млн рублей), хотя частично эта сумма может включать и другие доходы.

«От злоумышленника требуется совсем немного усилий для продвижения таких фейковых приложений, но выгода от этого может быть значительной. Именно это постоянно делают создатели HackBoss. Одноименный Telegram-канал — не единственное место, где продвигают свое вредоносное приложение. Они также ведут блог на сайте cranhan.blogspot [.] com, который содержит рекламу их приложений, владеют каналами YouTube с промо-видео и размещают рекламу на форумах и обсуждениях», — предупреждает Романа Тесаржова, исследователь вредоносных программ в Avast.

Мир криптовалют представляет особый интерес для злоумышленникав. С каждым скачком роста стоимости биткойнов все больше и больше людей вовлекаются в игру: продажу, добычу и обмен цифровыми активами. Но эта сфера привлекает как честных людей, так и киберпреступников. «Вредоносное ПО для кражи криптовалюты стало обычным явлением», — добавляет Романа.

Как защититься от кражи криптовалюты

  • Всегда будьте внимательны и осторожны при работе с криптовалютами.

  • Перепроверяйте адрес кошелька, на который вы отправляете свои средства.

  • Используйте двухфакторную аутентификацию для доступа к цифровым кошелькам.

  • Установите антивирус на все устройства: он защитит не только от вредоносных программ, таких как HackBoss, но и от более сложных угроз.

Больше информации о HackBoss можно найти в Avast Decode Blog.