Новости Фейковые обновления против криптоинвесторов: CoinLurker не щадит никого

NewsMaker

I'm just a script
Премиум
14,585
22
8 Ноя 2022
WebView2 от Microsoft стал входным билетом для вирусов.


geic9uqotq0uyzmedweicfk52otl3d4t.jpg


Злоумышленники используют фальшивые обновления программного обеспечения для распространения нового вредоносного ПО под названием CoinLurker. Для просмотра ссылки Войди или Зарегистрируйся компании Morphisec , вирус написан на языке Go, а также оснащён передовыми техниками обфускации и антианализа, что делает его эффективным инструментом для современных кибератак.

Атаки осуществляются через поддельные уведомления об обновлениях, распространяемые на взломанных сайтах WordPress, через малвертайзинг , фишинговые письма с ссылками на фейковые страницы обновлений, поддельные CAPTCHA и социальные сети. Все методы используют компонент Для просмотра ссылки Войди или Зарегистрируйся для выполнения вредоносного кода.

Особенностью CoinLurker является метод EtherHiding. Заражённые сайты внедряют скрипты, которые через Web3-инфраструктуру загружают финальный вредонос с Bitbucket, маскирующийся под легитимные файлы — например, «UpdateMe.exe» или «SecurityPatch.exe». При этом исполняемые файлы подписаны украденным сертификатом Extended Validation, что помогает обходить защитные механизмы.

Многоуровневый инжектор впоследствии внедряет вредонос в процесс Microsoft Edge («msedge.exe»). CoinLurker активно скрывает свои действия, декодируя полезную нагрузку в памяти во время выполнения и применяя условные проверки и манипуляции с памятью для усложнения анализа.

Основная цель вируса — кража данных из криптовалютных кошельков Bitcoin, Ethereum, Ledger Live и Exodus, а также из приложений Telegram, Discord и FileZilla. Исследователь Надaв Лорбер подчёркивает, что масштабный сбор данных свидетельствует о фокусе на ценной криптовалютной информации и пользовательских учётных данных.

Одновременно эксперты из Silent Push Для просмотра ссылки Войди или Зарегистрируйся малвертайзинг-кампаний, нацеленных на профессионалов графического дизайна. С ноября 2024 года злоумышленники используют рекламные объявления в Google Поиске для распространения заражённых загрузок, связанных с FreeCAD, Rhinoceros 3D, Planner 5D и Onshape.
 
Источник новости
www.securitylab.ru

Похожие темы