- 19,427
- 40
- 8 Ноя 2022
За маской искусственного интеллекта скрывается Fickle Stealer — вор цифровых кошельков.
Группа Для просмотра ссылки Войдиили Зарегистрируйся EncryptHub, также известная как LARVA-208 и Water Gamayun, Для просмотра ссылки Войди или Зарегистрируйся , нацеленную на разработчиков в сфере Web3. Цель — заразить их вредоносным ПО, крадущим данные, включая криптовалютные кошельки и доступ к проектам.
Эксперты из швейцарской компании PRODAFT сообщают, что злоумышленники изменили тактику и теперь маскируются под платформы искусственного интеллекта, такие как фальшивый сайт Norlax AI, который внешне имитирует Teampilot. Через такие площадки они предлагают жертвам «работу» или «оценку портфолио», в реальности заманивая их на вредоносные ресурсы.
Ранее EncryptHub Для просмотра ссылки Войдиили Зарегистрируйся программы-вымогатели, но теперь её участники сосредоточились на краже информации, которую можно быстро монетизировать. Разработчики Web3 — удобная цель. У многих из них есть доступ к Для просмотра ссылки Войди или Зарегистрируйся , хранилищам смарт-контрактов и тестовым средам. К тому же они часто работают вне корпоративной структуры, что делает защиту сложной, а атаки — менее заметными.
Мошенники распространяют ссылки на поддельные платформы через Telegram и X, притворяясь работодателями или заказчиками. Иногда они публикуют вакансии на специализированной платформе Remote3, а затем отправляют откликнувшимся ссылку якобы на собеседование.
Чтобы обойти предупреждения самого Remote3 о вредоносном ПО, злоумышленники начинают общение через Для просмотра ссылки Войдиили Зарегистрируйся . Уже во время разговора они просят соискателя перейти на стороннюю платформу — например, Norlax AI — якобы для продолжения интервью. Там пользователю предлагают ввести e-mail и код приглашения, а затем выдают сообщение об ошибке, связанной с отсутствием аудиодрайвера.
Под предлогом устранения ошибки система предлагает загрузить файл, замаскированный под Realtek HD Audio Driver. На самом деле это вредонос, который с помощью PowerShell загружает и запускает Fickle Stealer — программу, крадущую данные и передающую их на внешний сервер с кодовым названием SilentPrism.
По данным PRODAFT, эта кампания демонстрирует смену стратегии: от прямого вымогательства к извлечению прибыли за счёт продажи Для просмотра ссылки Войдиили Зарегистрируйся , логинов и конфиденциальных данных на чёрном рынке.
На этом фоне появились и другие угрозы. Исследователи из Trustwave SpiderLabs Для просмотра ссылки Войдиили Зарегистрируйся о новом шифровальщике KAWA4096, стиль которого напоминает Для просмотра ссылки Войди или Зарегистрируйся . Шантажисты используют структуру записки, похожую на Qilin, чтобы выглядеть более авторитетными в киберпреступной среде. С июня 2025 года жертвами этой программы стали как минимум 11 компаний, преимущественно в США и Японии. Как хакеры проникают в сети, пока неизвестно.
Особенность KAWA4096 — способность шифровать файлы на сетевых дисках. Он использует многопоточность, чтобы ускорить процесс сканирования и шифрования. Все найденные файлы отправляются в общую очередь, а далее обрабатываются параллельно несколькими потоками. Такая архитектура повышает эффективность атаки.
Появился и ещё один новичок — вымогатель под названием Crux. Он называет себя частью Для просмотра ссылки Войдиили Зарегистрируйся и был замечен в трёх атаках 4 и 13 июля. В одном из случаев хакеры получили доступ через легальные учётные данные и RDP. Общей чертой всех атак стало использование стандартных инструментов Windows — svchost.exe и bcdedit.exe — для сокрытия вредоносных команд и вмешательства в настройки загрузки, чтобы усложнить восстановление системы.
По Для просмотра ссылки Войдиили Зарегистрируйся специалистов Huntress, Crux активно использует легитимные процессы Windows, что затрудняет его обнаружение. Однако постоянный мониторинг активности этих процессов с помощью Для просмотра ссылки Войди или Зарегистрируйся -систем может помочь выявить атаку до того, как она приведёт к серьёзным последствиям.
Группа Для просмотра ссылки Войди
Эксперты из швейцарской компании PRODAFT сообщают, что злоумышленники изменили тактику и теперь маскируются под платформы искусственного интеллекта, такие как фальшивый сайт Norlax AI, который внешне имитирует Teampilot. Через такие площадки они предлагают жертвам «работу» или «оценку портфолио», в реальности заманивая их на вредоносные ресурсы.
Ранее EncryptHub Для просмотра ссылки Войди
Мошенники распространяют ссылки на поддельные платформы через Telegram и X, притворяясь работодателями или заказчиками. Иногда они публикуют вакансии на специализированной платформе Remote3, а затем отправляют откликнувшимся ссылку якобы на собеседование.
Чтобы обойти предупреждения самого Remote3 о вредоносном ПО, злоумышленники начинают общение через Для просмотра ссылки Войди
Под предлогом устранения ошибки система предлагает загрузить файл, замаскированный под Realtek HD Audio Driver. На самом деле это вредонос, который с помощью PowerShell загружает и запускает Fickle Stealer — программу, крадущую данные и передающую их на внешний сервер с кодовым названием SilentPrism.
По данным PRODAFT, эта кампания демонстрирует смену стратегии: от прямого вымогательства к извлечению прибыли за счёт продажи Для просмотра ссылки Войди
На этом фоне появились и другие угрозы. Исследователи из Trustwave SpiderLabs Для просмотра ссылки Войди
Особенность KAWA4096 — способность шифровать файлы на сетевых дисках. Он использует многопоточность, чтобы ускорить процесс сканирования и шифрования. Все найденные файлы отправляются в общую очередь, а далее обрабатываются параллельно несколькими потоками. Такая архитектура повышает эффективность атаки.
Появился и ещё один новичок — вымогатель под названием Crux. Он называет себя частью Для просмотра ссылки Войди
По Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
