Аналитики компании «Доктор Веб» расследовали деятельность киберпреступника, занимающегося мошенничеством на рынке криптовалют.

Мошенник, известный в сети под никами Investimer, Hyipblock и Mmpower, использует в своей деятельности широчайший набор самых распространенных коммерческих троянов. Среди них — стилеры Eredel, AZORult, Kpot, Kratos, N0F1L3, ACRUX, Predator The Thief, Arkei, Pony. Также в арсенале преступника замечен бэкдор Spy-Agent, разработанный на базе приложения TeamViewer, бэкдоры DarkVNC и HVNC, предназначенные для доступа к зараженной машине по протоколу VNC, и еще один бэкдор, созданный на основе ПО RMS. Киберпреступник активно применяет загрузчик Smoke Loader, а ранее использовал Loader by Danij и трояна-майнера, имеющего встроенный модуль для подмены содержимого буфера обмена (клипер).

Управляющие серверы Investimer держит на таких площадках как jino.ru, marosnet.ru и hostlife.net, при этом большинство из них работает под защитой сервиса Cloudflare с целью скрыть истинный IP-адрес этих сетевых ресурсов.

В целом используемая преступником схема обмана пользователей проста. Потенциальную жертву различными методами заманивают на мошеннический сайт, для использования которого требуется скачать некую программу-клиент. Под видом этого клиента жертва загружает трояна, который по команде злоумышленника устанавливает на компьютер другую малварь. Такие вредоносы (в основном трояны-стилеры) похищают с зараженного устройства конфиденциальную информацию, с помощью которой преступник затем крадет с их счетов криптовалюту и деньги, хранящиеся в различных платежных системах.

Преступник специализируется на мошенничестве с криптовалютами в целом и с Dogecoin в частности. Для реализации своих замыслов он создал множество фишинговых сайтов, копирующих реально существующие интернет-ресурсы. Один из них — поддельная криптовалютная биржа, для работы с которой якобы требуется специальная программа-клиент. Под видом этого приложения на компьютер жертвы загружается троян Spy-Agent.

Другой «стартап» мошенника — майнинговый пул Dogecoin, который якобы сдается в аренду по очень выгодным ценам. Для работы с этим несуществующим в реальности пулом тоже якобы требуется специальное приложение-клиент, которое загружается на компьютер потенциальной жертвы в запароленном архиве. Наличие пароля не позволяет защитным решениям проанализировать содержимое архива и удалить его еще на этапе скачивания. Внутри же, как несложно догадаться, прячется троян-стилер.

Еще один созданный Investimer’ом мошеннический ресурс посвящен криптовалюте Etherium. Потенциальным жертвам предлагается вознаграждение за просмотр сайтов в сети, для чего им также предлагается установить вредоносную программу под видом специального приложения. Здесь троян начинает загружаться автоматически, при входе посетителя на сайт. Преступник даже озаботился написанием нескольких поддельных отзывов о работе данного сервиса.

Еще один способ обмана людей, который практикует Investimer, это организация онлайн-лотерей, призом в которых служит определенная сумма в криптовалюте Dogecoin. Разумеется, лотереи устроены таким образом, что стороннему участнику выиграть в них невозможно, заработать на этом может только сам организатор розыгрыша. Тем не менее, на момент написания этого текста, на сайте организованной Investimer’ом лотереи было зарегистрировано более 5800 пользователей.

Помимо проведения лотерей Investimer также предлагает выплату вознаграждения в Dogecoin за просмотр веб-страниц с рекламой. Этот проект насчитывает уже более 11 000 зарегистрированных пользователей.

 

Разумеется, с сайта «партнера» на компьютер участника системы, под видом плагина для браузера, позволяющего зарабатывать в интернете, незамедлительно скачивается бэкдор. Затем он обычно устанавливает на инфицированное устройство трояна-стилера.

Исследователи отмечают, что Investimer не брезгует и традиционным фишингом. Созданный им сайт якобы предлагает вознаграждение за привлечение новых пользователей в платежную систему Etherium, однако на самом деле ресурс собирает введенную пользователями при регистрации информацию и передает ее злоумышленнику.

Помимо перечисленных выше способов криминального заработка, Investimer попытался скопировать официальный сайт cryptobrowser.site. Создатели оригинального проекта разработали специальный браузер, который в фоновом режиме добывает криптовалюту в процессе просмотра пользователем веб-страниц. По данным специалистов, подделка, которую создал Investimer, выполнена не слишком качественно: часть графики на сайте не отображается вовсе, в тексте лицензионного соглашения фигурирует адрес электронной почты настоящих разработчиков, а троян, который жертва получает под видом браузера, загружается с ресурса, расположенного на другом домене. На иллюстрации ниже показан поддельный сайт, созданный Investimer’ом (слева), в сравнении с оригинальным (справа).

Кроме того, злоумышленник был замечен в реализации и других схем сетевого мошенничества – в частности онлайн-игр, построенных по принципу финансовой пирамиды. Собранную с при помощи троянов-стилеров информацию он использует преимущественно для хищения криптовалюты и денег, которые его жертвы хранят в кошельках различных электронных платежных систем. Исследователи пишут, что в административной панели, с помощью которой Investimer управляет доступом к взломанным компьютерам, запись о каждой своей жертве он снабжает нецензурными комментариями.

Аналитики «Доктор Веб» полагают, что общее количество пользователей, пострадавших от противоправной деятельности Investimer’а, превышает 10 000 человек. Ущерб, нанесенный злоумышленником своим жертвам, специалисты оценивают в более чем 23 000 долларов США. К этому следует добавить более 182 000 в криптовалюте Dogecoin, что по нынешнему курсу составляет еще порядка 900 долларов.

Полный список индикаторов компрометации можно посмотреть здесь.

Оставить мнение