Возродившийся биткоин обезоружил дилетантов перед волной троянов и шифровальщиков

Софт Безопасность Бизнес Интернет
мобильная версия
, Текст: Роман Георгиев 2753

Злоумышленники распространяют программу, которая выдает себя за некое подобие генератора криптовалют, а на самом деле шифрует файлы.


Спекуляции на биткоине

Резкий рост стоимости биткоина (Bitcoin), наблюдаемый в последние недели, столь же резко повысил интерес всевозможных мошенников к теме криптовалют. По сведениям издания BleepingComputer, в Сети появилось множество сайтов, предлагающих «скачать простую программу и с помощью нее зарабатывать в день $5-45» в биткоинах. Как нетрудно догадаться, «простая программа» ничего хорошего установившим ее не принесла.

В лучшем случае доверчивые пользователи сталкивались с троянцами, крадущими пароли. В худшем их файлы оказывались жертвами шифровальщиков.

Мошенники целят также во владельцев веб-сайтов: им предлагается размещать у себя ссылку на страницу мошенников, которые обещают выплачивать 0,3 единицы криптовалюты Ethereum за каждые 100 переходов.

Ссылки, в свою очередь, ведут на сайт, где предлагается скачать программу, якобы позволяющую зарабатывать в биткоинах «бесплатно и автоматически». Программа называется BitcoinCollector. Для усыпления бдительности пользователю даже предъявляется ссылка на VirusTotal, показывающая, что файл якобы чистый (правда, совершенно непонятно, что это в принципе за ссылка и к чему она относится).

bitcoin600.jpg
Мошенники подсовывают троянцы и шифровальщики желающим быстро заработать на биткоинах

После скачивания оказывается, что это ZIP-архив с некоторым количеством разнообразных файлов, включая исполняемый BotCollector.exe. В ходе его запуска выводится окно программы Freebitco.in-Bot, которая даже снабжена некоторым графическим интерфейсом и кнопкой Start.

На практике нажатие кнопки Start приводит к запуску троянца, либо, как уже было сказано, шифровальщика разновидности HiddenTear.

Далее жертве предлагается заплатить выкуп в течение 48 часов. Впрочем, для HiddenTear существует эффективно работающий декриптор.

Не подфартило?

В последнее время, как утверждает эксперт по информбезопасности под ником Frost, обнаруживший эту кампанию, злоумышленники переключились на рассылку троянца Baldr, крадущего пароли. Кроме этого, троянец способен делать скриншоты, красть историю браузера и любые другие файлы, а также перехватывать реквизиты доступа к криптокошелькам.

Вероятно, этот способ заработка показался злоумышленникам более простым и эффективным.

«Судя по описанию, кампания рассчитана на тех, кто "что-то слышал" про криптовалюты и считает, что на этом можно легко и быстро заработать денег, но совершенно не в курсе технических аспектов, — отмечает Дмитрий Залманов, эксперт по информационной безопасности компании SECConsultServices. — Для успешной атаки потенциальная жертва должна нарушить целую серию самых базовых правил кибербезопасности: уверовать в то, что бесплатный сыр случается за пределами мышеловок, поверить, что люди, предлагающие "заработать автоматически и бесплатно", исходят из чисто альтруистических побуждений, скачать непонятно откуда непонятно какую программу и, не испытывая сомнений, ее запустить. К сожалению, и такое тоже случается. Но, судя по тому, что злоумышленники переключились на более традиционный троянец, уже реже, чем раньше.