Злоумышленники нашли необычный способ обмана пользователей, интересующихся криптовалютами. Они предлагают скачать инструмент для восстановления потерянных биткоин-кошельков, но вместо обещанной утилиты жертва получает вредоносное ПО, которое ворует учетные данные и информацию о криптокошельках. Речь идет о кампании по распространению инфостилера (класса вредоносных программ, предназначенных для кражи конфиденциальных данных) под названием SalatStealer.
Описание
Схема атаки выглядит просто, но оттого еще более опасна. На YouTube публикуется видео, в котором утверждается, что с помощью специальной программы можно подобрать пароль к утерянному криптовалютному кошельку. В описании ролика или в комментариях размещается ссылка на Google Диск, где якобы хранится эта утилита. Учитывая, что тема восстановления доступа к биткоинам вызывает сильный эмоциональный отклик у пострадавших пользователей, такой подход значительно снижает бдительность.
Ссылка на Google Диск ведет к заархивированному файлу, защищенному паролем. Это позволяет злоумышленникам обойти автоматическую проверку безопасности облачного хранилища. Пароль к архиву простой - "1111". Внутри находится исполняемый файл, который на самом деле является загрузчиком вредоносного ПО. Исследователи компании CyberArmor в своём техническом отчёте подробно описали механизм работы этой кампании.
Когда жертва запускает загрузчик, он обращается к удаленному серверу по IP-адресу 147.45.219[.]144 и скачивает сразу несколько компонентов. Среди них - скрипты для отключения защиты Windows (disable_defender_and_setup.bat), файлы с расширением .vbs для скрытого запуска различных модулей, а также целый набор исполняемых файлов под названиями Addon.exe, Addon2.exe, Addon3.exe, BruteForce.exe, MetaSkins.exe, Drift.exe и другие. Именно Addon3.exe оказался центральным элементом атаки - это дроппер, то есть программа, которая доставляет и устанавливает на компьютер основную вредоносную нагрузку.
Техническая реализация заражения не отличается высокой сложностью, но для своих целей она более чем эффективна. Дроппер хранит зашифрованную полезную нагрузку внутри собственных ресурсов. При запуске он применяет ключ для расшифровки данных в оперативной памяти. Исследователи восстановили алгоритм дешифрования и опубликовали код, позволяющий извлекать скрытое содержимое. После расшифровки на устройство проникает финальный вредоносный компонент, написанный на языке Rust. Для защиты от анализа авторы использовали библиотеку rust-obfuscator, которая запутывает код и затрудняет его обратную разработку.
Важно понимать, что SalatStealer не является уникальным с технической точки зрения зловредом. Команда CyberArmor отметила, что вредоносная программа не демонстрирует изощренных техник обхода средств защиты. Однако её главное преимущество - продуманная социальная инженерия, ориентированная на вполне конкретную аудиторию. Люди, потерявшие доступ к криптокошелькам, находятся в уязвимом психологическом состоянии и готовы пробовать любые обещанные решения. Именно этот фактор, а не техническая сложность, обеспечивает высокий процент заражений.
Анализ показывает, что злоумышленники нацелены прежде всего на высокоценные данные. Инфостилер собирает сохраненные пароли, учетные записи браузеров, файлы криптокошельков и, вероятно, сессионные токены. Это позволяет не только получить доступ к средствам на криптобиржах, но и захватить аккаунты в других сервисах, что открывает возможности для дальнейших атак. Учитывая, что кампания продолжается, количество скомпрометированных устройств может быть значительным.
Нельзя не отметить, что подобная схема свидетельствует о росте популярности мультикомпонентных атак, где загрузчик скачивает с управляющего сервера сразу несколько модулей. Такой подход затрудняет обнаружение - антивирусные программы видят только безобидный загрузчик, тогда как основная угроза проникает в систему уже после того, как защита может быть ослаблена запущенными ранее скриптами.
Тем, кто ищет способы восстановления утерянных криптовалютных кошельков, стоит крайне осторожно относиться к любым предложениям скачать стороннее программное обеспечение с видеохостингов или файлообменников. Легитимные сервисы восстановления доступа к блокчейн-активам никогда не требуют установки неизвестных бинарных файлов, защищённых паролем и распространяемых через ссылки в комментариях. Атака SalatStealer - ещё одно напоминание о том, что эмоции и спешка становятся главными союзниками злоумышленников в цифровую эпоху.
Индикаторы компрометации
URLs
- http://147.45.219.144/Addon.exe
- http://147.45.219.144/Addon2.exe
- http://147.45.219.144/Addon3.exe
- http://147.45.219.144/AirDrop.exe
- http://147.45.219.144/BruteForce.exe
- http://147.45.219.144/disable_defender_and_setup.bat
- http://147.45.219.144/Drift.exe
- http://147.45.219.144/MetaSkins.exe
- http://147.45.219.144/Overplus.exe
- http://147.45.219.144/run_silent.vbs
- http://147.45.219.144/SteamSetup.exe
- http://147.45.219.144/VMProtectSDK64.dll
- https://drive.google.com/file/d/1LLG_w5ybvehcMYQeJfk6khn_fYHAjQkS/view
- https://seall-vernous.com:443
- https://t.me/gerj_threuh
- https://www.youtube.com/watch?v=aVexQ0gumyE
MD5
- dede03baf3db18febbfdab6068dd9df4
- dee62f6b131ca23940ec51701df7154c
SHA1
- 458a87d8af348401cf6335a76c3c1ac999d5ae05
- d50a0c1b413b59e508f4964ce97496a9de75ff9c
SHA256
- 2469940f2355e150186c64ebe756df4d56fca02cac8dc1716f4df7cebcbf7b85
- b74f067d9363faf3b6528914073908cd304799992d8b1611e213dbade92127fc