Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Бесплатный сыр бывает только в мышеловке: злоумышленники распространяют вредоносное ПО через NFT-дропы (http://txgate.io:443/showthread.php?t=11390)

Artifact 04-28-2025 04:23 PM

Свои “подарки” киберпреступники рассылают пользователям криптокошелька Phantom.
https://www.securitylab.ru/upload/ib...rmpp4fjh6n.jpg
Вредоносная кампания началась две недели назад, когда пользователи начали получать NFT с названиями "PHANTOMUPDATE.COM" или "UPDATEPHANTOM.COM", якобы являющиеся предупреждениями от создателей криптокошелька Phantom.
https://lh3.googleusercontent.com/BL...j0VH8ChHFYaY4Q
Фейковые NFT с вредоносной ссылкой внутри.
При открытии информации о NFT жертва видит уведомление от "разработчиков" криптокошелька, в котором говорится, что выпущено новое обновление безопасности и для его загрузки необходимо как можно скорее посетить веб-сайт из названия или перейти по ссылке, вложенной в сообщение. Если пользователь переходит по ссылке, то на его устройство загружается bat-файл под названием Phantom Update 2022-10-08.bat с DropBox.
Оказавшись на устройстве, батник проверяет, запущен ли он с правами администратора. Если нет, то запросит разрешение на запуск от имени администратора.
Если жертва даст нужное разрешение, то будет запущен PowerShell-скрипт, который расшифровывает все последующие команды для выполнения. Цепочка команд приведет к тому, что с GitHub будет загружен exe-файл под названием windll32.exe и запущен из папки C:\Users\<username>\AppData\Local.
https://www.bleepstatic.com/images/n...ll-install.jpg
Вредонос на компьютере жертвы.
По данным VirusTotal, загруженный файл представляет собой инфостилер, который крадет историю браузера, cookie-файлы, сохраненные пароли, а также SSH-ключи и другую информацию. И хотя неизвестно, какой вредонос используется в текущей кампании, в предыдущих атаках злоумышленники заражали жертв программой MarsStealer.
Специалисты считают, что целью текущей кампании является кража криптовалюты с кошельков жертв и компрометация учетных записей на других платформах.
Всем, кто установил поддельное обновление безопасности Phantom, должны немедленно проверить свой компьютер с на наличие вредоносного ПО, перевести все свои криптовалютные средства и активы на другие кошельки, а также сменить пароли на всех сайтах, уделяя особое внимание криптобиржам, банковским счетам и электронной почте.


All times are GMT. The time now is 05:47 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.