Cyberbrottslingar Riktar In Sig På Kryptoinvesterare Med Ny Skadlig Programvara – Här Är Vad Du Behöver Veta
Hackare och cyberbrottslingar har riktat in sig på kryptoinvesterare med två nya skadliga programvaror som söker efter ovetande investerare på internet för att stjäla deras medel.
Enligt en nylig rapport från anti-malware-programvaran Malwarebytes har två nya cybersäkerhetshot, inklusive nyligen upptäckt lösenordskrypteringsprogramvara vid namn MortalKombat och en GO-variant av skadlig programvara vid namn Laplas Clipper, använts i kampanjer som syftar till att stjäla kryptovaluta från offer.
Offren för dessa nya phishing-attacker finns främst i USA, med en mindre andel offer i Storbritannien, Turkiet och Filippinerna.
Företagets forskningsavdelning för hotintelligens, Cisco Talos, säger att de har observerat att brottslingen skannar internet efter potentiella mål med en exponerad fjärrskrivbordsprotokoll (RDP)-port 3389, ett proprietärt protokoll som ger användaren en grafisk gränssnitt för att ansluta till en annan dator via en nätverksanslutning.
Forskningen visar att kampanjen börjar med en phishing-e-post “och inleder en flerstegsattackkedja där angriparen antingen levererar skadlig programvara eller lösenordskrypteringsprogramvara och sedan raderar bevis för skadliga filer för att dölja sina spår och försvåra analysen”.
Phishing-e-posten innehåller en skadlig ZIP-fil som innehåller en BAT-laddningsskript, som laddar ner ytterligare en skadlig ZIP-fil när offret öppnar den. Skadlig programvara infiltrerar också offrets enhet och utför den nedladdade skadliga programkoden, antingen GO-varianten av Laplas Clipper eller lösenordskrypteringsprogramvaran MortalKombat.
“Laddningsskriptet kör den nedladdade programkoden som en process på offrets enhet och raderar sedan de nedladdade och skadliga filerna för att ta bort spår av infektionen”, detaljerar rapporten.
Talos noterade att ett vanligt angreppssätt för brottslingarna har varit en phishing-e-post där de utger sig för att vara CoinPayments, en legitim global betalningsplattform för kryptovalutor.
För att göra e-postmeddelandena ännu mer trovärdiga har de en förfalskad avsändare, “noreply[at]CoinPayments[.]net”, och ämnet för e-posten är “[CoinPayments[.]net] Betalningstid överskriden”.
I det här specifika fallet bifogas en skadlig ZIP-fil med ett filnamn som liknar en transaktions-ID som nämns i e-postmeddelandets brödtext, vilket lockar offret att packa upp den skadliga bilagan för att se innehållet, vilket är en skadlig BAT-laddare.
Hotet om Lösenordskrypteringsprogramvaror Ökar Medan Intäkterna Minskar
Hotet om lösenordskrypteringsprogramvaror och cyberattacker fortsätter att öka. Dock har offren blivit allt mer ovilliga att betala angriparna deras krav, enligt en nylig rapport från Chainalysis som visar att intäkterna för lösenordskrypteringsprogramvaror minskade med 40% förra året.
Det är värt att notera att nordkoreanska hackargrupper står för en stor del av olagliga cyberaktiviteter. Nyligen varnade sydkoreanska och amerikanska underrättelsetjänster för att hackergrupper baserade i Pyongyang försöker genomföra lösenordskrypteringsattacker mot “stora internationella institutioner”.
I december 2022 avslöjade även Kaspersky att BlueNoroff, en undergrupp till den nordkoreanska statssponsrade hackargruppen Lazarus, utger sig för att vara riskkapitalister som vill investera i kryptostartups genom en ny phishing-metod.
