Трейдинг үшін бэкдорды БҚ түрінде тарату операциясы ашылды

MalwareHunterTeam ретінде белгілі қауіпсіздік зерттеушісі macOS және Windows-пен басқарылатын компьютерлеріне бэкдор орнататын криптовалюта трейдингі үшін БҚ таратудың жаңа схемасын тапты.

Зерттеушінің айтуынша, зиянкестер JMT Trader деп аталатын тегін трейдинг платформасын ұсынатын жалған компания құрды. Оны компьютерге орнату кезінде троян да орнатылады.

Құрбандар JMT Trader заңдылығы туралы ешқандай күмән тудырмауы үшін, алаяқтар сапалы ресімделген сайтты құрып, Twitter-ге тиісті бетті енгізді (рас, соңғы жазба ағымдағы жылдың маусым айында даталанған).

JMT Trader орнату әрекеті кезінде құрбан GitHub репозиторийіне түседі, ол жерден macOS және Windows үшін орындалатын қолданбалар файлдарын, сондай-ақ Linux сияқты оны компиляциялағысы келетіндерге арналған бастапқы платформа кодын жүктеуге болады. Бастапқы код зиянды емес.

JMT Trader көмегімен пайдаланушы биржаларда әртүрлі профильдерді жасай алады және оларды оңай заңды криптовалюта трейдингі үшін пайдалана алады. Себебі бағдарламаның өзі мен оның GitHub-тегі беті зиянкестер өз мақсатына бейімделген QT Bitcoin Trader тұпнұсқа бағдарламасынан толығымен көшірілген.

Орнатушы соныменқатар, JMT Trader орнату процесінде екінші CrashReporter.exe БҚ шешеді және оны %AppData%\JMTTrader бумасында сақтайды. Бұл компонент зиянды болып табылады және VirusTotal-да 69 қауіпсіздік шешімінің 5-уі ғана детекторланады.

Орнатқаннан кейін компьютерде әрбір пайдаланушы авторизацияланғанда, CrashReporter.exe орындалатын файлын іске қосу үшін жоспарланған JMTCrashReporter тапсырма жасалады. Зиянды файл іске қосылған кезде, бэкдор C&C-серверіне beastgoc[.]com қосылады және одан команда алады.

Бэкдор қосымша зиянды БҚ жүктеп ала ма, әлде жай ғана криптовалюталық әмияндарды және биржаларда авторландыру үшін есептік деректерді ұрлау үшін пайдалынама әзірге белгісіз. Дегенмен, MalwareHunterTeam зиянды науқанды талдай отырып, AppleJeus деп аталатын басқа зиянды операциямен үлкен ұқсастықты анықтады, оның артында болжаумен Lazarus киберқылмыс тобы тұрды.

Толығырақ: https://www.securitylab.ru/news/501726.php