Эксперты предупреждают, что новое вредоносное ПО захватывает учетные записи людей в социальных сетях, крадет их сохраненные учетные данные и использует их устройства для майнинга криптовалют.
Исследователи из группы Advanced Threat Control Team (ATC) Bitdefender обнаружили новый штамм, названный ими S1deload Stealer, который пытается избежать обнаружения антивирусными программами за счет интенсивного использования боковой загрузки DLL.
Во второй половине прошлого года хакерам, стоящим за кампанией, удалось заразить сотни конечных точек. (откроется в новой вкладке) с этим новым инфостилером:
Сотни зараженных устройств
«В период с июля по декабрь 2022 года продукты Bitdefender обнаружили более 600 уникальных пользователей, зараженных этим вредоносным ПО», — отметил исследователь Bitdefender Давид Акс.
Чтобы заразить устройства, жертвам необходимо самостоятельно загрузить и запустить вредоносное ПО. Злоумышленники создали несколько архивов (файлы .zip), предположительно содержащие контент для взрослых. Те, кто загрузит и запустит этот контент, не получат то, за чем пришли, а вместо этого получат информационный стиллер, способный делать несколько вещей:
Во-первых, он может загружать и запускать безголовый браузер Chrome, который работает в фоновом режиме и открывает различные видео на YouTube и посты в Facebook для сбора просмотров. Он может загружать и запускать похититель информации, который расшифровывает и извлекает учетные данные для входа, сохраненные в браузерах, а также файлы cookie сеанса.
Если он наткнется на учетную запись Facebook, он попытается проанализировать ее, чтобы узнать, администрирует ли она какие-либо страницы или группы Facebook, платит ли она за рекламу на платформе или связана ли она с учетной записью бизнес-менеджера. Очевидно, что все эти вещи сделают этот аккаунт более ценным.
Наконец, он может загрузить, установить и запустить майнер криптовалюты, добывающий криптовалюту BEAM для злоумышленников. BEAM описывает себя как «конфиденциальную криптовалюту и платформу DeFi».
«Компонент кражи, который мы наблюдали в дикой природе, крадет сохраненные учетные данные из браузера жертвы, эксфильтрируя их на сервер автора вредоносного ПО», — сказал Акс. «Автор вредоносного ПО использует недавно полученные учетные данные для спама в социальных сетях и заражения большего количества компьютеров, создавая петлю обратной связи».
С помощью: Пищит Компьютер (откроется в новой вкладке)
