В России растет волна инвестиционного мошенничества

В России растет волна инвестиционного мошенничества

В России растет волна инвестиционного мошенничества

В первом полугодии 2024 г. аналитики компании F.A.C.C.T. обнаружили более 10 000 доменов для мошеннических инвестиционных проектов. Количество постов в социальных сетях для продвижения мошеннических ресурсов с января по май 2024 г. увеличилось в 40 раз по сравнению с аналогичным периодом прошлого года.

Инвестиционное мошенничество (инвестскам) направлено на то, чтобы жертва добровольно передала деньги мошенникам под воздействием обещаний прибыли от инвестиционных вложений в акции или криптовалюту для получения стабильного пассивного дохода.

Приобретенные на мошеннических ресурсах ценные бумаги или криптовалюта не имеют никакой реальной ценности, а вложенные средства «инвестор» уже не сможет вывести. Часто, помимо перевода денег, жертву будут вынуждать делиться конфиденциальными данными.

По данным аналитиков департамента Digital Risk Protection компании F.A.C.C.T., в 2024 г. количество мошеннических доменов выросло на 25% по сравнению с 2022 г., когда подобное исследование проводилось в прошлый раз. Количество рекламных постов в соцсетях для привлечения на мошеннические сайты за первые пять месяцев этого года увеличилось почти в 40 раз по сравнению с январем-маем 2023 года: с 201 до 7869 рекламных постов. С января 2023 года по май 2024 мошенники опубликовали 17 969 соответствующих рекламных постов на русском языке в Instagram и Facebook (признаны экстремистскими и запрещены в России), причем 98% из них было запущено только с августа 2023.

По мнению экспертов, рост активности злоумышленников в инвестиционном мошенничестве связан с популяризацией по этому направлению мошеннических партнерских программ, которые позволяют злоумышленникам масштабировать незаконный бизнес, привлекать больше жертв и увеличивать прибыль за счет разделения задач. Актуальность мошеннических схем зависит от инфоповодов, экономической ситуации и других факторов. Всего эксперты F.A.C.C.T. выявили 10 партнерских программ, активно работающих в направлении мошенничества с инвестициями.

Злоумышленники создают поддельные веб-ресурсы, регистрируются в социальных сетях и мессенджерах, разрабатывают приложения, имитирующие инвестиционные проекты и биржи. После пополнения баланса в мошеннической инвестиционной платформе первое время жертве могут демонстрировать красивые графики об успешном росте капитала, который потом сменится падением котировок и необходимостью новых инвестиций.

Реклама мошеннических ресурсов запускается в социальных сетях, мессенджерах, на видеохостингах, через рассылки по почте, холодные звонки, поисковые сервисы. В постах для продвижения используют якобы личные истории:

  • Взломанная переписка знаменитостей, где они обсуждают пассивных доход от инвестиционного проекта.
  • Мужчина, разбогатевший на инвестициях, оказался в больнице из-за распутного образа жизни, но хочет поделиться секретами своего дохода.
  • Семья свингеров нашла секрет гармонии и способ получать стабильный доход через вложения в акции.

 

Одним из признаков мошеннических схем с инвестициями в большинстве случаев является активное участие колл-центров. Потенциальной жертве назначается личный «инвестиционный эксперт», чья задача убеждать жертву вкладывать деньги в «выгодный проект». Некоторые партнерские программы организуют колл-центры самостоятельно, но в большинстве случаев они пользуются услугами отдельных сервисов для мошенников.

«Количество веб-ресурсов, офферов, партнерских программ, а также рекламы, которое было обнаружено, может свидетельствовать о том, что «инвестиционный» вид мошеннических схем с акциями или криптовалютами продолжает развиваться, — отмечает руководитель департамента Digital Risk Protection F.A.C.C.T. Станислав Гончаров. — Партнерские программы являются масштабными проектами и представляют серьезную угрозу для обычных интернет-пользователей и компаний, чьи бренды эксплуатируются в схеме. Изучение инфраструктуры этих программ позволяет эффективнее бороться с образующимися угрозами».

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Инфостилер Jarka прожил год на PyPI под видом инструментов интеграции ИИ

Эксперты «Лаборатории Касперского» нашли на PyPI два схожих пакета, якобы реализующих доступ к API популярных ИИ-моделей — GPT-4 Turbo и Claude AI. Анализ показал, что истинной целью в обоих случаях является внедрение зловреда JarkaStealer.

Вредоносные библиотеки gptplus и claudeai-eng были загружены в репозиторий Python-кодов в ноябре прошлого года, притом из-под одного и того же аккаунта. До удаления с подачи Kaspersky их скачали более 1700 раз пользователи из 30 стран (в основном жители США, Китая, Франции, Германии и России).

 

Описания содержали инструкции по созданию чатов для ИИ-ботов и примеры работы с большими языковыми моделями (БЯМ, LLM). Для имитации заявленной функциональности в код был встроен механизм взаимодействия с демопрокси ChatGPT.

При запуске параллельно происходит загрузка с GitHub файла JavaUpdater.jar — инфостилера Jarka. При отсутствии у жертвы софта Java с Dropbox скачивается JRE.

Внедряемый таким образом вредонос умеет выполнять следующие действия в системе:

  • собирать системную информацию;
  • воровать информацию из браузеров;
  • прерывать процессы Google Chrome и Microsoft Edge (чтобы вытащить сохраненные данные);
  • отыскивать сессионные токены в Telegram, Discord, Steam, чит-клиенте Minecraft;
  • делать скриншоты.

Украденные данные архивируются и передаются на C2-сервер. После этого файл с добычей удаляется с зараженного устройства, чтобы скрыть следы вредоносной активности.

Как оказалось, владельцы JarkaStealer продают его в Telegram по модели MaaS (Malware-as-a-Service, «вредонос как услуга»), однако за доступ уже можно не платить: исходники были опубликованы на GitHub. В рекламных сообщениях и коде зловреда обнаружены артефакты, позволяющие заключить, что автор стилера владеет русским языком.

«Обнаруженная кампания подчёркивает постоянные риски, связанные с атаками на цепочки поставок, — отметил эксперт Kaspersky GReAT Леонид Безвершенко. — При интеграции компонентов с открытым исходным кодом в процессе разработки критически важно проявлять осторожность. Мы рекомендуем организациям внедрять строгую проверку целостности кода на всех этапах разработки, чтобы убедиться в легитимности и безопасности внешнего программного обеспечения или внешних компонентов».

Тем, кто успел скачать gptplus или claudeai-eng, рекомендуется как можно скорее удалить пакет, а также обновить все пароли и сессионные токены.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru