В рунете активизировались мошенники, интересующиеся криптой

Татьяна Никитина 17 Октября 2023 - 13:00

...

В рунете активизировались мошенники, интересующиеся криптой

В сентябре наблюдался рост активности мошенников, атакующих владельцев криптоактивов. Эксперты объясняют это сезонными факторами, а также уходом с российского рынка криптобиржи Binance.

В прошлом месяце защитные решения «Лаборатории Касперского» заблокировали 317 тыс. попыток перехода на поддельные сайты, эксплуатирующие тему крипты, — почти в полтора раза больше, чем в августе. За III квартал этот показатель вырос до 633 тыс. — против 379 тыс. в предыдущем квартале (в I квартале составил 924 тыс.).

Количество веб-страниц, созданных злоумышленниками для кражи крипты, по оценке независимого аналитика Андрея Бархоты, в минувшем квартале превысило 700 тыс., тогда как годом ранее составляло менее 400 тысяч.

Всплеск активности мошенников опрошенные «Ъ» эксперты связали с окончанием периода отпусков и обычным для осени повышением курса биткоина (около $28,5 тыс. по состоянию на 12 утра 17 октября). Свою лепту также внес уход Binance с российского крипторынка.

«Многие торговые и арбитражные связки были утеряны, и далеко не все трейдеры смогли вовремя переориентироваться на альтернативные торговые площадки, пояснил для журналистов сооснователь 0xprocessing Никита Вассев. — В Telegram сейчас популярна схема набора в обучение арбитражу, во время которой "ученику" скидывают фишинговую ссылку на якобы обменник, пройдя по которой жертва теряет деньги».

Замруководителя ONLY BANK Виталий Китайчук, со своей стороны, отметил, что в сети мошенников ежегодно попадаются около 10–15% пользователей, впервые купивших криптоактивы за предшествующий год. По мере роста опыта на этом поприще доля сокращается до 2-5%.

Защититься от мошенников на крипторынке помогут простые меры предосторожности:

быть внимательным при совершении операций с криптовалютами;
с недоверием относиться к слишком привлекательным предложениям;
не переходить по ссылкам из рекламы;
никому не передавать личные данные и секретные ключи;
использовать сложные пароли;
следить за новостями и трендами в криптомире, чтобы вовремя узнавать о новых угрозах и схемах обмана.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Татьяна Никитина 22 Ноября 2024 - 15:54

Трояны Домашние пользователи Корпорации

Инфостилер Jarka прожил год на PyPI под видом инструментов интеграции ИИ

Эксперты «Лаборатории Касперского» нашли на PyPI два схожих пакета, якобы реализующих доступ к API популярных ИИ-моделей — GPT-4 Turbo и Claude AI. Анализ показал, что истинной целью в обоих случаях является внедрение зловреда JarkaStealer.

Вредоносные библиотеки gptplus и claudeai-eng были загружены в репозиторий Python-кодов в ноябре прошлого года, притом из-под одного и того же аккаунта. До удаления с подачи Kaspersky их скачали более 1700 раз пользователи из 30 стран (в основном жители США, Китая, Франции, Германии и России).

Описания содержали инструкции по созданию чатов для ИИ-ботов и примеры работы с большими языковыми моделями (БЯМ, LLM). Для имитации заявленной функциональности в код был встроен механизм взаимодействия с демопрокси ChatGPT.

При запуске параллельно происходит загрузка с GitHub файла JavaUpdater.jar — инфостилера Jarka. При отсутствии у жертвы софта Java с Dropbox скачивается JRE.

Внедряемый таким образом вредонос умеет выполнять следующие действия в системе:

собирать системную информацию;
воровать информацию из браузеров;
прерывать процессы Google Chrome и Microsoft Edge (чтобы вытащить сохраненные данные);
отыскивать сессионные токены в Telegram, Discord, Steam, чит-клиенте Minecraft;
делать скриншоты.

Украденные данные архивируются и передаются на C2-сервер. После этого файл с добычей удаляется с зараженного устройства, чтобы скрыть следы вредоносной активности.

Как оказалось, владельцы JarkaStealer продают его в Telegram по модели MaaS (Malware-as-a-Service, «вредонос как услуга»), однако за доступ уже можно не платить: исходники были опубликованы на GitHub. В рекламных сообщениях и коде зловреда обнаружены артефакты, позволяющие заключить, что автор стилера владеет русским языком.

«Обнаруженная кампания подчёркивает постоянные риски, связанные с атаками на цепочки поставок, — отметил эксперт Kaspersky GReAT Леонид Безвершенко. — При интеграции компонентов с открытым исходным кодом в процессе разработки критически важно проявлять осторожность. Мы рекомендуем организациям внедрять строгую проверку целостности кода на всех этапах разработки, чтобы убедиться в легитимности и безопасности внешнего программного обеспечения или внешних компонентов».

Тем, кто успел скачать gptplus или claudeai-eng, рекомендуется как можно скорее удалить пакет, а также обновить все пароли и сессионные токены.