Хакеры распространяют RAT Orcus на волне интереса к криптовалюте

image

Теги: Bitcoin, биткойн, криптовалюта, фишинг

Злоумышленники распространяют вредоносную рекламу бота Gunbot для трейдинга.  

Киберпреступники решили воспользоваться ажиотажем вокруг стремительно растущей криптовалюты Bitcoin и запустили новую, ориентированную на трейдеров фишинговую кампанию. Злоумышленники распространяют рекламу бота Gunbot, предназначенного для торговли на бирже. На самом деле реклама является вредоносной и заражает компьютеры жертв трояном для удаленного доступа (RAT) Orcus.

В последнее время курс биткойна бьет все мыслимые и немыслимые рекорды, поэтому торги на биржах криптовалют проходят как никогда активно. Большой популярностью у трейдеров пользуются специальные боты, отслеживающие и сопоставляющие стоимость биткойна на различных платформах. При выгодной разнице курсов они автоматически покупают и продают биткойны в заранее установленных трейдером пределах.

Эксперты компании Fortinet предупредили о новой фишинговой кампании, распространяющей RAT Orcus через вредоносную рекламу. Реклама рассылается в спам-письмах и предлагает установить легитимный бот Gunbot от GuntherLab (Gunthy). В письмо вложен zip-файл под названием «sourcode.vbs», содержащий простой VB-скрипт. После выполнения скрипт загружает файл, внешне похожий на JPEG-изображение, но на самом деле являющийся PE-файлом.

По словам исследователей, судя по комментариям в скрипте, хакеры даже не пытаются скрыть свои намерения. Вероятно, они малоопытны и купили используемые в атаках компоненты где-то еще. Загружаемый исполняемый файл представляет собой троянизированную версию инструмента TTJ-Inventory System с открытым исходным кодом.

Portable Executable (PE) – формат исполняемых файлов, объектного кода и динамических библиотек, используемый в 32- и 64-разрядных версиях ОС Windows. Формат PE представляет собой структуру данных, содержащую всю информацию, необходимую PE-загрузчику для отображения файла в память. Исполняемый код включает в себя ссылки для связывания динамически загружаемых библиотек, таблицы экспорта и импорта API функций, данные для управления ресурсами и данные локальной памяти потока (TLS).

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus