Новый зловред для Windows Subsystem for Linux крадёт cookies аутентификации

Новый зловред для Windows Subsystem for Linux крадёт cookies аутентификации

Новый зловред для Windows Subsystem for Linux крадёт cookies аутентификации

Киберпреступники продолжают проявлять интерес к слою совместимости Windows Subsystem for Linux (WSL), который предназначен для запуска Linux-приложений в системе Windows. На этот раз злоумышленники разработали вредоносную программу, способную красть cookies аутентификации.

Свежий WSL-вредонос, как выяснили эксперты, опирается на открытый исходный код и использует Telegram для связи с операторами. При этом атакующему открывается удалённый доступ к скомпрометированной системе.

Исследователи Black Lotus Labs утверждают, что им удалось зафиксировать более 100 образцов подобных зловредов с осени прошлого года. Два из проанализированных семплов вызывают особый интерес, поскольку способны функционировать как инструмент для удалённого доступа (RAT).

Специалисты также отметили, что один из свежих WSL-вредоносов основан на инструменте с открытым исходным кодом “RAT-via-Telegram Bot“, который предоставляет возможность контроля через мессенджер Telegram.

Кроме того, новый зловред может воровать файлы cookies, используемые для аутентификации, из браузеров Google Chrome и Opera. Загружать дополнительные файлы и запускать команды — всё это тоже может WSL-вредонос.

Среди дополнительных функциональных возможностей исследователи отметили снятие скриншотов и сбор информации (имя пользователя, версию ОС и IP-адрес). На площадке VirusTotal лишь два антивируса из 57 распознали вредоносную программу.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Мошенники все чаще используют случайных людей в качестве дропов

Проект «Мошеловка» выявил заметный рост активности мошенников, связанных с вовлечением добропорядочных людей в свои операции, которые могут попасть в базу дропов Банка России. Это является прямым следствием новых мер государства, направленных на противодействие мошенническим переводам.

Как отметила координатор проекта «Мошеловка» Евгения Лазарева в комментарии для «Известий», количество обращений, связанных с вовлечением обычных граждан в деятельность мошенников, что называется, «втемную» выросло за 2024 год на 20%.

Эксперты связали данную ситуацию со вступлением в силу 27 июля поправок в закон «О национальной платежной системе», который обязывает банки приостанавливать подозрительные переводы и передавать в базу ЦБ данные скомпрометированных счетов.

«Резонанс вокруг нового закона оказался настолько сильным, что злоумышленникам стало сложнее найти добровольных дропов. Поэтому мошенникам пришлось искать новые способы вывода средств обманутых граждан в свои карманы. Прежде всего они стали чаще использовать схемы для вовлечения вслепую добропорядочных граждан», — отметила Евгения Лазарева.

По статистике «Мошеловки», обычно мошенники используют три схемы. Одна из них связана с отправкой случайным людям больших сумм, якобы по ошибке. После чего поступает звонок с заверениями, что произошла ошибка и просьбами вернуть деньги, но на другую карту.

На этом часто мошенники не останавливаются, и в игру вступает третий участник, который перевел деньги за какой-то дорогостоящий товар, но покупку не получил. В итоге несостоявшийся покупатель обращается в правоохранительные органы, а невольный дроп попадает в «черный список» регулятора и сталкивается с большим количеством ограничений.

В Ассоциации развития финансовой грамотности (АРФГ) тем, кто сталкивается с подобной ситуацией, посоветовали позвонить в банк и сообщить, что поступил неизвестный перевод, и описать ситуацию. Переводить средства нельзя.

Другая схема связана с получением доступа к личному кабинету или мобильному приложению клиента банка. Обычно это происходит с помощью социальной инженерии, фишинга или заражения вредоносной программой. Мошенники не только крадут средства со счета жертвы, но и используют счет для переводов. Такая активность также приводит к попаданию в базу дропов Банка России.

Кроме того, злоумышленники могут открывать счета и оформлять платежные карты от имени других людей по поддельным или похищенным документам.

В пресс-службе Банка России «Известиям» сообщили о том, что злоумышленники предлагают тем, кто ранее пострадал от действий мошенников, совершать различного рода переводы за вознаграждение. Эти операции якобы необходимы правоохранительным органам для проведения расследований.

Добровольных дропов, вербовку которых мошенники также активизировали, оказалось недостаточно. В этом качестве злоумышленники пытаются привлекать подростков, пенсионеров и людей, оказавшихся в сложной жизненной ситуации, часто под видом удаленной работы или помощи бизнесу. Но из-за совершенствования антиотмывочных процедур у банков такая активность очень быстро выявляется и пресекается, в результате дропы становятся практически одноразовым ресурсом.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru