В последние годы инфостилеры стали одной из самых серьезных угроз в киберпространстве, и их распространенность продолжает расти. Однако нередко сами злоумышленники становятся жертвами своих же коллег. В ходе расследования специалисты CyberArmor обнаружили любопытный случай, когда киберпреступники использовали поддельное ПО для мошенничества с USDT (Tether) не только для атак на обычных пользователей, но и для заражения друг друга.
Описание
Все началось с анализа скриншота рабочего стола, сделанного инфостилером WorldWind (также известным как StormKitty). Этот вредоносный код фиксирует активность пользователя, собирает пароли из браузеров, историю посещений и данные криптовалютных приложений. На одном из таких снимков обнаружилась папка с программой под названием FLASH USDT Senders, которую пользователь скачал незадолго до заражения. В фоне также был виден Telegram, а именно группа @cryptographytube, которая, вероятно, и стала источником распространения вредоносного ПО.
Дальнейшее расследование показало, что программа была распространена пользователем с ником Brain Box (Telegram ID 7101105223). На первый взгляд, Flash USDT Sender выглядел как инструмент для создания фейковых транзакций USDT, имитирующих подтвержденные платежи в блокчейне. Однако на самом деле это оказался дроппер - программа, скрытно загружающая другие вредоносные модули.
Анализ кода с помощью dnSpy выявил, что приложение содержит пять зашифрованных вредоносных компонентов, которые после запуска расшифровываются, сохраняются в %APPDATA% и активируются. Среди них:
- Crack.exe - RDP-граббер, который проверяет открытые порты (например, 3089), меняет пароли учетных записей и отправляет данные злоумышленникам.
- Cracked.exe - сочетает в себе функции VNC-сервера и кейлоггера, перехватывая нажатия клавиш и передавая их на сервер управления.
- Service.exe - криптоклиппер, подменяющий адреса кошельков в буфере обмена на адреса атакующих.
- Svchost.exe - тот самый инфостилер WorldWind, который собирает данные с зараженного компьютера.
На момент исследования было зафиксировано 198 систем, зараженных RDP-граббером, и 43 машины, пораженные WorldWind. География атак охватывает разные регионы, что свидетельствует о масштабности кампании.
Но самое интересное - это то, что жертвами стали сами киберпреступники. Обычно подобные инструменты, такие как фальшивые отправители USDT, используются для обмана рядовых пользователей. Однако в данном случае мошенники, занимающиеся криптомошенничеством, сами попались на удочку, скачав вредоносное ПО под видом полезного софта.
Эта история наглядно демонстрирует, насколько изощренными стали современные кибератаки. Даже опытные злоумышленники могут стать жертвами коллег, если не соблюдают базовые меры безопасности.
Чтобы минимизировать риски, эксперты рекомендуют:
- Не скачивать ПО из непроверенных источников, особенно если оно обещает «легкие деньги» или обход законных механизмов.
- Использовать двухфакторную аутентификацию для защиты учетных записей.
- Регулярно проверять системы на наличие подозрительной активности.
- Ограничивать доступ к критически важным портам (например, RDP).
В мире киберпреступности доверие - это роскошь, которой нет даже среди своих. И если даже мошенники попадаются на уловки друг друга, то обычным пользователям стоит быть еще осторожнее.
Индикаторы компрометации
IPv4
- 185.252.232.158
- 64.23.232.116
MD5
- 0dfa83a82f6418c73406d78296de61be
- 36e79d9c029304417b9e0a142eb22a42
- 9215015740c937980b6b53cee5087769
- ac7938b542469a1c5bb108fc046ac87b
- cddd6cbe3647a3e2cc16f30cf896997b
- df9aa637c6f482d7b5e55b2bafa70023
- f2e3df6480be8613cddb3319d70536fb
SHA1
- 21299aac3fef64e0f812d486d571eedf03b8e9db
- 92ed4117ddfb76d166d1a0a2cd1d4e13c524dab4
- 9571a4ab3359b982f0ab33b03e815df8c354b0f3
- a0bfe95486944f1548620d4de472c3758e95d36a
- c3fd8bfcb699432852b4dd5149fd979a026a2a9f
- dd7eceef8a434c43e0751e180bf714e08771d336
- ec3e50b99c320bf80cf990558da8707fbb52edab
SHA256
- 0daf5698a1d810cbc872c291049c5a917f3805e53c118e575af698ff8e480ccf
- 1efd1de7aef995821042509c66121a942c7ee8e004badbb4e14a10b5d7c96292
- 3218439f6308183f5d2fb10e8c6d4f0befe23dcc5231a7d55c41ff1f5d0762d7
- 8d27369ffa8b29d561fa9daf485be14d2fc00287bb1c69d4c84d514891c8db5e
- a5390a297f14ef8f5be308009ec436d2a58598188dbb92d7299795a10ba1c541
- b9b3b3630d78ed68c6cca1fb41fe51fa1626c6a58bd62387d824e344b8e451bb
- fbe554b708be46efb6e6e96745133dcc0bf2f90051e91571360bd801ad8bc8f2
Bitcoin
- bc1qzmt3wunk3a7r4fy26kyye6suvmhufsuqv893pm
- 1FoAEgf2zUxZZnLnrh4NySvFjuVCUdJ7Lq
- 39myS6nW3UMUq4KD2cG9p7RAHuhmKEp1UZ
Litecoin
- ltc1q2ecs69500vws8rju88qg6dxful8qrsaycntwy5
- Le9YSUdEzne4PqFWi3aqQQKHwFyqNrobuc
- ltc1q2ecs69500vws8rju88qg6dxful8qrsaycntwy5
- Le9YSUdEzne4PqFWi3aqQQKHwFyqNrobuc
- DQQ32u8NaGAHCpCsWgvGo11uiTuMbtushe
Ethereum
- 0xb99cF9Af6fE91eD030542F730bc384258eA4f365
XRP
- rpEcRxoWq7XinwuGBPNtb9NF49uXR4QWBz
TRON
- TTSW5A1wjmkzvrpq36yREcHKE2cQ9f8t4Y
