Breaking News

Нов трик с биткойн заразява компютрите с откупи и софтуер

Той дори предоставя връзка към VirusTotal, за да покаже на потребителите, че е безопасен и няма зловреден софтуер. Но програмата всъщност е таен троян.
Той дори предоставя връзка към VirusTotal, за да покаже на потребителите, че е безопасен и няма зловреден софтуер. Но програмата всъщност е таен троян.

В действителност тази програма не прави нищо друго, освен да инсталира откупуващ софтуер или Trojan, който краде пароли на компютри жертви.

Измамата е открита за първи път от изследователи с псевдонима Frost, които говориха за него в Twitter.

Измамите се насърчават на сайтове, които обещават печалба на Ethereum, като се позовават на техния уебсайт. Тези страници казват, че тези, които се отнасят до 1000 посещения, печелят 3 Ethereum на стойност $ 750.

Претенциите за безплатно Ethereum дори не са измама. Както можете да видите от представеното изображение, те казват, че можете да печелите $ 15-45 на ден безплатно и автоматично.

Ако щракнете върху тази реклама, ще бъдете изпратени до друг сайт, който популяризира програма, наречена „Биткойн колектор“, която при изтегляне трябва да генерира безплатен биткойн за вас.

Той дори предоставя връзка към VirusTotal, за да покаже на потребителите, че е безопасен и няма зловреден софтуер. Но програмата всъщност е таен троян.

При изтегляне и извличане на zip файл, някои файлове ще бъдат генерирани, както и изпълним, наречен BotCollector.exe. при изпълнение на последната ще стартира програма, наречена "Freebitco.in - Bot", която изглежда не служи за никаква цел. В действителност този троян твърди, че е генератор на биткойн, но просто стартира злонамерен софтуер.

Когато изследователите анализираха трояна, беше забелязано, че щракването върху бутона Старт ще доведе до фалшива програма за бот за активиране на зловреден софтуер. Интересната особеност на тази схема е, че нападателите обещават ефириум безплатно, като насочват потребителите към уебсайта и получават безплатна промоция на "BotcCollector" повече възможности за заразяване на другите.

Първоначално като злонамерен софтуер

Когато Frost разкри кампанията, злонамереният софтуер беше скрит в изкупвачен софтуер HiddenTear, наречен „Marozka Tear Ransomware“.

Когато стартира, той криптира .crypted файловете и създава някои бележки за това как да дешифрирате файловете. Програмата и бележките помолят потребителя да се свърже с india2lock@gmail.com, за да получи инструкции за плащане. Сега тази кампания популяризира троянец. Frost каза, че това е Baldr инфекция, която има коефициент на откриване 32/70 в VirusTotal.

По-долу можете да видите контролните сървъри и команди. Троянската инфекция е много по-опасна, защото краде идентификационни данни за акаунти онлайн, реализира скрийншоти, взема история на браузъра, краде файлове и дори криптира портфейли.


Ако сте засегнати от тази измама, трябва да промените всички пароли, особено банкови и финансови.

No comments