Российские киберзлоумышленники стали рассылать для участников крипторынка вредоносные файлы с предложениями о работе
Мошенники стали притворяться работодателями на криптовалютном рынке с целью кражи конфиденциальных данных. К такому выводу пришли сотрудники японской IT-фирмы Trend Micro. Сообщается, что злоумышленники рассылают вредоносные предложения о работе с помощью архива в формате .rar. В таком архиве расположено два файла: «Interview questions.txt» и «Interview conditions.word.exe».
Первый файл в формате .txt не представляет угрозы и призван создать у жертвы ощущение подлинности предложения о работе, утверждают эксперты. В файле на русском и украинском языке перечисляются вопросы по криптовалютной тематике.
Заражение компьютера жертвы начинается при запуске файла формата .exe, который выглядит как документ Microsoft Word. При попытке открыть файл на компьютере жертвы запускается троян Enigma, который через бота в Телеграме запускает операции, а также развертывает журнал для ведения логов.
Более того, в атаке используется ботнет Amadey, который, как утверждают в Trend Micro, распространяется, в основном, на русскоязычных форумах. Ботнет проводит системную разведку зараженного устройства и может красть конфиденциальную информацию. О принадлежности русскоговорящих хакеров к кампании также говорит и временная зона в ботнете, которая установлена на московский часовой пояс, заметили в Trend Micro. По словам аналитиков, вредоносная кампания нацелена на жертв в Восточной Европе.
Вирусные атаки под видом предложений о работе уже давно активно применяются на криптовалютном рынке. Например, наиболее известна атака на сотрудника блокчейн-фирмы Sky Mavis, которая занималась разработкой NFT-игры Axie Infinity. Злоумышленники с помощью PDF-файла с предложением о работе смогли взломать четыре корпоративных компьютера в студии Sky Mavis, похитив по итогу свыше $500 млн в криптовалюте.
Министерство финансов США и ФБР выяснили, что за атакой на Sky Mavis стояла хакерская группировка из Северной Кореи под названием Lazarus Group и APT38. Бюро добавило, что преступления используются северокорейским режимом для спонсирования своих военных ресурсов.
Согласно правилам Trust Project, BeInCrypto стремится предоставлять только непредвзятую и правдивую информацию. Цель этой новостной статьи — осветить событие точно и своевременно. Тем не менее, BeInCrypto рекомендует читателям самостоятельно проверять информацию и консультироваться со специалистом, прежде чем принимать любые финансовые решения на основе этого контента. Также обратите внимание, что наши «Условия и положения», «Политика конфиденциальности» и «Дисклеймеры» были обновлены.
