Вредоносное ПО HackBoss для кражи криптовалюты распространяется через Telegram

Команда Avast Threat Lab недавно обнаружила новое вредоносное ПО для кражи криптовалюты –– его назвали HackBoss. По данным исследования Avast, это простая, но эффективная вредоносная программа, которая распространяется через Telegram-канал Hack Boss. Канал существует с ноября 2018 года и имеет более 2500 подписчиков. В нем авторы публикуют рекламу приложений для проверки уязвимостей или взлома, но при загрузке люди получают вредоносное ПО HackBoss.

После установки HackBoss самостоятельно запускается и ищет адреса кошельков с криптовалютой, которые копируются в буфер обмена. Когда HackBoss обнаруживает адрес кошелька, он заменяет предполагаемый кошелек адресом кошелька авторов HackBoss — и перенаправляет деньги злоумышленникам. Вредоносная полезная нагрузка продолжает работать на компьютере жертвы даже после закрытия пользовательского интерфейса приложения. Если вредоносный процесс завершен — например, через диспетчер задач — он может снова запуститься после загрузки устройства или как задача, запланированная на следующую минуту.
 
HackBoss проверяет кошельки с криптовалютами Bitcoin, Ethereum, Dogecoin, Litecoin и Monero, при этом большинство из них в валюте Bitcoin. Анализ, проведенный Avast Threat Labs, показал, что жертвы HackBoss в основном находятся в Нигерии и США, и что авторы вредоносного ПО могли получить более полумиллиона долларов (560 451,08 долларов США или 42,5 млн рублей) в виде перенаправленных криптовалют (хотя частично эта  сумма может включать  прибыль от продаж поддельного ПО).

На своем канале авторы публикуют сообщения, рекламирующие приложения для проверки уязвимостей или взлома, но при загрузке этих приложений люди получают HackBoss. Такие сообщения содержат ложное описание предполагаемой функциональности и скриншоты пользовательского интерфейса приложения. Иногда в них есть ссылка на канал YouTube (в настоящее время удален) Bank God с рекламным видео.

Через Telegram-каналы можно взаимодействовать с очень широкой аудиторией. Любой желающий может подписаться на определенный канал. При этом только администраторы канала имеют право публиковать сообщения –– и в каждом посте указано название канала как редактора, а не имя конкретного автора-человека.

Hack Boss может быть очень эффективным. Многие люди сегодня имеют вложения в криптовалюте и отправляют их через приложения. Фейковое приложение запускает вредоносный процесс, который постоянно проверяет содержимое буфера обмена и обменивается содержимым – все это может привести к значительным денежным потерям для пользователей. Рано или поздно жертва запустит настоящее приложение для криптовалюты на своем ПК, чтобы отправить кому-то некую сумму. Как только пользователь скопирует адрес кошелька получателя криптовалюты, это известит уже запущенный вредоносный процесс – и он, в свою очередь, изменит адрес кошелька на  адрес злоумышленников. Менее внимательный пользователь может нажать на кнопку оплаты, не осознавая, что скопированный адрес кошелька за это время поменялся – и потеряет свои деньги.

«От злоумышленника требуется совсем немного усилий для продвижения таких фейковых приложений, но выгода от этого может быть значительной. Именно это постоянно делают создатели HackBoss. Одноименный Telegram-канал — не единственное место, где продвигают свое вредоносное приложение. Они также ведут блог на сайте cranhan.blogspot [.] Com, который содержит рекламу их приложений, владеют каналами YouTube с промо-видео и размещают рекламу на форумах и обсуждениях», — предупреждает Романа Тесаржова, исследователь вредоносных программ Avast.

Мир криптовалют заманчив и интересен. С каждым скачком роста стоимости биткойнов все больше и больше людей вовлекаются в игру: продажу, добычу и обмен цифровыми активами. Но эта сфера привлекает как честных людей, так и киберпреступников. «Вредоносное ПО для кражи криптовалюты стало обычным явлением», — добавляет Романа.
 

Тематики: Безопасность

Ключевые слова: информационная безопасность, Avast!, Telegram, вирусы