Спецпроекты

Возродившийся биткоин обезоружил дилетантов перед волной троянов и шифровальщиков

2765
ПО Безопасность Бизнес Интернет

Злоумышленники распространяют программу, которая выдает себя за некое подобие генератора криптовалют, а на самом деле шифрует файлы.

Спекуляции на биткоине

Резкий рост стоимости биткоина (Bitcoin), наблюдаемый в последние недели, столь же резко повысил интерес всевозможных мошенников к теме криптовалют. По сведениям издания BleepingComputer, в Сети появилось множество сайтов, предлагающих «скачать простую программу и с помощью нее зарабатывать в день $5-45» в биткоинах. Как нетрудно догадаться, «простая программа» ничего хорошего установившим ее не принесла.

В лучшем случае доверчивые пользователи сталкивались с троянцами, крадущими пароли. В худшем их файлы оказывались жертвами шифровальщиков.

Мошенники целят также во владельцев веб-сайтов: им предлагается размещать у себя ссылку на страницу мошенников, которые обещают выплачивать 0,3 единицы криптовалюты Ethereum за каждые 100 переходов.

Ссылки, в свою очередь, ведут на сайт, где предлагается скачать программу, якобы позволяющую зарабатывать в биткоинах «бесплатно и автоматически». Программа называется BitcoinCollector. Для усыпления бдительности пользователю даже предъявляется ссылка на VirusTotal, показывающая, что файл якобы чистый (правда, совершенно непонятно, что это в принципе за ссылка и к чему она относится).

bitcoin600.jpg
Мошенники подсовывают троянцы и шифровальщики желающим быстро заработать на биткоинах

После скачивания оказывается, что это ZIP-архив с некоторым количеством разнообразных файлов, включая исполняемый BotCollector.exe. В ходе его запуска выводится окно программы Freebitco.in-Bot, которая даже снабжена некоторым графическим интерфейсом и кнопкой Start.

На практике нажатие кнопки Start приводит к запуску троянца, либо, как уже было сказано, шифровальщика разновидности HiddenTear.

Далее жертве предлагается заплатить выкуп в течение 48 часов. Впрочем, для HiddenTear существует эффективно работающий декриптор.

Не подфартило?

В последнее время, как утверждает эксперт по информбезопасности под ником Frost, обнаруживший эту кампанию, злоумышленники переключились на рассылку троянца Baldr, крадущего пароли. Кроме этого, троянец способен делать скриншоты, красть историю браузера и любые другие файлы, а также перехватывать реквизиты доступа к криптокошелькам.

Вероятно, этот способ заработка показался злоумышленникам более простым и эффективным.

«Судя по описанию, кампания рассчитана на тех, кто "что-то слышал" про криптовалюты и считает, что на этом можно легко и быстро заработать денег, но совершенно не в курсе технических аспектов, — отмечает Дмитрий Залманов, эксперт по информационной безопасности компании SECConsultServices. — Для успешной атаки потенциальная жертва должна нарушить целую серию самых базовых правил кибербезопасности: уверовать в то, что бесплатный сыр случается за пределами мышеловок, поверить, что люди, предлагающие "заработать автоматически и бесплатно", исходят из чисто альтруистических побуждений, скачать непонятно откуда непонятно какую программу и, не испытывая сомнений, ее запустить. К сожалению, и такое тоже случается. Но, судя по тому, что злоумышленники переключились на более традиционный троянец, уже реже, чем раньше.



Профиль месяца

Нужно ли локализовывать иностранное ПО

Александр Шохин

президент Российского союза промышленников и предпринимателей

Взгляд месяца

Государство должно получать данные напрямую из информсистем компаний

Савва Шипов

Замминистра Минэкономразвития