В середине
июня командой Threat Intelligence экспертного центра безопасности Positive
Technologies было
обнаружено сразу несколько ресурсов, использующих «топливную» тему
для вредоносных целей.
1️⃣ В рамках первой кампании (скриншот
1) производится угон Telegram-аккаунтов. От имени крупной нефтегазовой
организации, предоставляющей услуги по продаже топлива физическим лицам,
предлагается «забронировать» время для покупки топлива без очередей. В процессе
бронирования злоумышленники просят предоставить код подтверждения (скриншот
2), который на деле является кодом двухфакторной аутентификации от
Telegram-аккаунта. Отметим, что исходный код ресурсов изобилует комментариями,
характерными для кода, сгенерированного нейросетями.
2️⃣ Вторая кампания заманивает «актуальными» данными о доступности топлива, предлагая
скачать APK-файл для Android (скриншоты 3 и 4). На вредоносном сайте
отображается карта со сведениями о наличии топлива на разных заправках по всей
стране (скриншот 5). Под капотом приложения — инфостилер (вредонос,
среди функций которого сбор с устройства фотографий и текущей геопозиции с
последующей отправкой в облачные хранилища мошенников, что впоследствии может
использоваться для шантажа жертвы и иных целей).
⚠️ Рекомендации наших экспертов:
• Не сообщайте третьим лицам и не вводите на сторонних ресурсах никакие
коды, приходящие на ваши устройства.
• Не устанавливайте незнакомые мобильные приложения.
• Относитесь критически к любому ресурсу, обнаруженному в интернете,
особенно если он эксплуатирует «горячую» тему.
#POSI
