Несгораемый токен (NFT) - это запись в блокчейне, связанная с цифровым или физическим активом - обычно цифровым файлом, таким как фото, видео или аудио. Право собственности на NFT записывается в блокчейн, и его можно продавать и обменивать. NFT отличаются от криптовалют, которые в основном взаимозаменяемы, тем, что NFT уникальны и незаменимы. Рынок НФТ переживает бум: в период с 2020 по 2021 год объем торгов вырастет более чем на 20 000 процентов. Киберпреступники поспешили воспользоваться этой тенденцией, о чем команда Morphisec Threat Labs уже писала в своем докладе. Теперь у команды Threat Labs есть свежие данные о вредоносном ПО NFT-001 для криптовалют и NFT, которое впервые появилось в ноябре 2020 года.
Последовательность атак NFT-001 обычно включает следующие шаги:
- Злоумышленники атакуют пользователей в сообществах криптовалют и NFT на Discord и других форумах.
- Жертва получает личное фишинговое сообщение, связанное с NFT или финансовой возможностью. Сообщение содержит ссылку на поддельный веб-сайт и вредоносное приложение, которое обещает улучшение пользовательского опыта.
- Загруженное вредоносное ПО распаковывает троян удаленного доступа (RAT), который используется для кражи данных браузера, установки кейлоггера и других функций слежки.
- Затем злоумышленник использует эти данные для кражи личных данных, а также для кражи кошелька и других вещей жертвы.
- В настоящее время угроза перешла от криптера Babadeda к новому поэтапному загрузчику, используя при этом ту же инфраструктуру доставки, что и раньше. Новый загрузчик увеличивает возможности защиты от уклонения этой вредоносной программы.
Indicators of Compromise
IPv4
- 135.181.140.153
- 135.181.140.182
- 135.181.17.47
- 135.181.6.215
- 144.91.79.86
- 145.239.253.176
- 157.90.1.54
- 193.56.29.242
- 37.48.89.8
- 65.108.9.124
- 65.21.127.164
- 94.23.218.87
- 95.217.114.96
Domains
- abracadabra.run
- app.opptimism.com
- app.optimism.run
- app.perp.run
- clipper.run
- coinstats.top
- dune-analytics.com
- hawksight.space
- illuvium.run
- mmfinance.fund
- opptimism.com
- wallet.polygon-bridge.com
- yieldsguild.com
URLs
- http://rwwmefkauiaa.ru/bs8bo90akv.exe
- http://rwwmefkauiaa.ru/u84ls.exe
SHA256
- 030203206b667bb49b24a6e209ff3d27f611a4451687705f7b1e853a0921a788
- 2c0116126420998b955f7d01666bd0f6af9dc83fc4e33d7d7b3dd086ece905c7
- 4110c49337323ea9d83c22d41a072e28c5b0540325b48a3291c1447488e8d704
- 46b1a4907bb6b0c021aa223421a2059825a331eee4cb6bd08e413100337b1609
- 568d62692ac0e7667cb925719d2535f548488c96d9b0747cb97dc05ff640a2b3
- 76d1e65f336fa106514b0b618b32d003e8d5340917fb0517a8af90fc6afd9bca
- 7f58d9ce7358a10e0679e36ff7bcf4e51a3dbfa16ce9d8ffd53a2b216773bb54
- 80116f648ea5fb431e50a8aa935c168c29d3ffd1e5aa128bd18ce1c167fc8f9e
- 849b58523e4eb0006da82410ad2792352a97be92c528fc252b45f84c1f04986b
- 87d57e20a3502f6c4264fc3da9c671352c30700b0363a331e9fc1e11e8f2ca89
- 8ceda430adf0fd37dd732d0903b45ed4141f0786d2a271b58754a6c9d6b68690
- 97aa3c220bc95c83032a2a4597fd463eba11508347d5d836ceea4e82588e00d4
- a6c9feceb19f666c483051e77d2dd3d71cd256664b427f96cf778aee62ab83f7
- b011f2fab7414cb794348ba0591042789ba8fe47e002d7fdc165d135a2783172
- b97fe69c3d771af4a62b9fbdd5cce61f9e18d3911c9b3e28c5bf94831f791ef5
- c2efbcc341a979fd404e51a55ab0436e746bda35df2a08f074605fc6ab929797