Сервис Safeguard, предназначенный для защиты транзакций на криптовалютном рынке, стал объектом внимания киберпреступников, которые создают поддельные боты в Telegram, чтобы обмануть пользователей.
Описание
Один из таких поддельных ботов требует от пользователей выполнить определенные действия, включая выполнение кода PowerShell, чтобы украсть доступ к аккаунтам. Также обнаружен новый зарегистрированный домен с двумя активными ботами Telegram, которые пытаются получить доступ к аккаунтам пользователей, заставляя их сканировать QR-коды. Данный домен публично демонстрирует информацию о своей конфигурации, включая реальный IP-адрес сервера, на котором расположен мошеннический сервис. IP-адрес связан с двумя доменами inps[.]ec и inps[.]io, последний из которых уже был проанализирован в ранее выпущенном пресс-релизе. Ссылки на другой домен inps[.]st также указывают на то, что он был недавно зарегистрирован.
Indicators of Compromise
IPv4
- 93.115.172.191
Domains
- inps.ec
- inps.st
- safeguard-telegram.net
URLs
- http://93.115.172.191/
- https://inps.ec/
- https://inps.st/
- https://safeguard-telegram.net/
- https://t.me/rmc89y4unvw89rewbot
- https://t.me/Safegulalrd_bot
