Хакеры создали фальшивую видеоигру с развитой экосистемой, чтобы потрошить криптокошельки
Злоумышленники, стоящие за известными вредоносами Raccoon Stealer и RedLine Stealer, создали целую фальшивую игру и экосистему вокруг нее и предлагали за ее рекламу большие деньги.
Ктулху краденый
Киберзлоумышленники создали целую поддельную экосистему вокруг несуществующей видеоигры с единственной целью — распространять вредоносы.
Масштабная операция включала создание веб-сайтов, каналов в Discord, аккаунты в соцсетях, сайт разработки на платформе Medium. В центре всего этого должна была якобы находиться видеоигра Cthulhu World, построенная по модели play-to-earn (P2E, играй ради заработка). На деле же все это использовалось для распространения вредоносных программ RaccoonStealer, AsyncRAT и RedLine, которые крадут пароли и содержимое криптовалютных кошельков.
Игры по модели play-to-earn, довольно редкие до недавнего времени, сейчас набирают популярность. Естественно, там, где речь заходит про деньги, моментально начинают появляться всевозможные мошенники. Однако кампании такого масштаба — тоже редкость.
Фальшивку разоблачил эксперт по безопасности, известный как iamdeadlyz. По его словам, злоумышленники напрямую связываются с различными пользователями, предлагают поучаствовать в продвижении несуществующей игры, обещая за ее поддержку в соцсетях вознаграждение в криптовалюте (Ethereum). Сумма предполагаемого вознаграждения довольно велика, что само по себе выглядит очень подозрительным.
Скачайте троянца по промокоду
Согласившимся предоставляется «доступ к бета-версии», а точнее весьма представительно выглядящему веб-сайту с картой игры и другой информацией. При нажатии на одну из иконок пользователю предлагается ввести «код доступа к альфа-версии проекта». Этот код злоумышленники передают потенциальным жертвам через соцсети (в личных сообщениях в Twitter, в частности).
В зависимости от того, какой код введен, пользователю в систему скачивается один из трех файлов с хостинга DropBox. Каждый из них содержит одну из вышеперечисленных вредоносных программ.
Сайт «игры», как выяснилось, это переименованный клон другого, легитимного проекта Alchemic World (twitter.com/AlchemicWorld). Создатели Alchemic World на прошлой неделе предупредили пользователей о том, чтобы не попадались на уловку злоумышленников.
Сейчас сайт Cthulhu World уже не функционирует, однако канал в Discord остается активным. Некоторые пользователи до сих пор считают, что речь идет о легитимном проекте.
«RedLine Stealer и Raccoon Stealer не в первый раз распространяются в связке, и также не впервые экзотическим способом, — отмечает Анастасия Мельникова, директор по информационной безопасности компании SEQ. — В конце 2021 г., например, их операторы создали тысячи видеороликов на Youtube, ориентированных на хакеров-любителей, в которых содержались пояснения, как решить ту или иную задачу с помощью конкретной вредоносной программы, но ссылки в комментариях к ролику вели именно на RedLine и Raccoon. Кампания была очень масштабной, и остановить ее удалось не сразу. Это, скорее всего, означает, что злоумышленники располагают довольно обширными ресурсами. И, возможно, страдают мегаломанией».
Эксперт отметила также, что Raccoon Stealer — это троянец предположительно русского происхождения; он не представляет собой ничего особенного с технической точки зрения, но это не мешает ему быть весьма эффективным.