Мошенники начали использовать новый тип атак с поддельным обновлением браузера

Исследователь KrebsOnSecurity Брайан Кребс рассказал о новом типе мошенничества с использованием старого метода, который заключается в том, чтобы заставить пользователей перейти на вредоносные сайты якобы для обновления браузера.


Новое исследование показывает, что злоумышленники разработали новый способ защитить вредоносное ПО от обнаружения экспертами по безопасности или правоохранительными органами. Они начали размещать вредоносные файлы в децентрализованном анонимном блокчейне криптовалюты.

В августе 2023 года исследователь безопасности Рэнди МакЭоин написал о типе мошенничества ClearFake, которое использует взломанные сайты WordPress для размещения страницы, на которой утверждается, что пользователю необходимо обновить браузер перед просмотром контента. При этом оповещения персонализируются в зависимости от браузера. Те, кто нажимают на кнопку обновления, автоматически загружают в систему вредоносный файл, который пытается установить трояна, похищающего информацию.

В этом месяце исследователи тель-авивской фирмы Guardio заявили, что они отслеживают обновлённую версию ClearFake. Если ранее группа хранила вредоносные файлы обновлений на Cloudflare, то после блокировки их разместили в виде криптовалютных транзакций в Binance Smart Chain (BSC). Технология предназначена для запуска децентрализованных приложений и «умных контрактов».


Нати Тал, руководитель службы безопасности Guardio Labs, рассказал, что вредоносные скрипты, вшитые во взломанные сайты WordPress, создают новый смарт-контракт в блокчейне BSC, начиная с уникального, контролируемого злоумышленником адреса блокчейна и набора инструкций. Когда этот контракт запрашивается взломанным веб-сайтом, он возвращает запутанную и вредоносную полезную нагрузку.


«Благодаря общедоступной и неизменяемой природе блокчейна код может размещаться в сети без возможности его удаления», — написал Тал. По его словам, эта схема идеально подходит для злоумышленников, поскольку извлечение вредоносного контракта — бесплатная операция.

В BNB Smart Chain заявили, что команда осведомлена о вредоносном ПО и активно решает эту проблему. Компания заверила, что все адреса, связанные с распространением вредоносного ПО, занесены в чёрный список, а технические специалисты разработали модель для обнаружения будущих смарт-контрактов, которые используют аналогичные методы. Техническая группа работает над связыванием выявленных адресов, которые распространяют вредоносные скрипты, с централизованной информацией KYC («Знай своего клиента»), когда это возможно.

В Guardio считают, что мошенники, стоящие за схемой вредоносного ПО BSC, используют тот же вредоносный код, что и злоумышленники, о которых МакЭойн писал в августе, и, вероятно, принадлежат к той же группе.

Однако фирма по обеспечению безопасности электронной почты Proofpoint заявила, что в настоящее время отслеживает как минимум четыре группы злоумышленников, которые используют такой метод.

Ранее исследователи безопасности сообщали, что хакеры распространяют вредоносное ПО под видом обновления Google Chrome. Они обнаружили множество взломанных веб-сайтов со встроенным вредоносным JS-кодом. При переходе на сайт пользователь видит поддельное сообщение Chrome о том, что версия браузера устарела, и из-за этого невозможно отобразить содержимое страницы.

20.10.2023
https://habr.com/ru/news/768754/​