Dr.Web: Мошенники начали распространять вредоносное ПО

«Бесплатного сыра» не бывает​

Российские хакеры начали распространение ПО, позиционирующегося как генератор QR-кодов о прохождении вакцинации. Как сообщили CNews представители компании «Доктор Веб», за ней скрывается хитро спрятанный троян, который, к тому же, подгружает еще два не менее опасных вредоноса.

Распространяется программа через наспех созданный сайт, на котором говорится, что каждый может получить на руки лишь один код, и что до 15 декабря 2021 г. эта услуга якобы полностью бесплатна, а после обойдется всего лишь в 150 руб. Инструкция по установке гласит, что от пользователя требуется лишь ввести свои персональные данные (ФИО и др.), после чего программа сгенерирует код, ведущий на поддельную страницу «Госуслуг» с информацией о подлинности этого самого кода.

qr601.webp
Сайт, с которого осуществляется распространение генератора
Сам сайт имеет дизайн, актуальный на начало XXI века и содержит орфографические и пунктуационные ошибки. Есть и кнопка «Скачать», ведущая на файлообменник Mega, ранее известный как MegaUpload, где и лежит дистрибутив псевдо-генератора QR-кодов.

Троян-матрешка​

На файлообменнике, по утверждению специалистов «Доктор Веб», находится exe-файл, то есть исполняемый файл для ОС Windows. На вопрос CNews о доступности программы в версии под Android, macOS или Linux представители компании ответили, что «разработчик» не потрудился сделать свой троян пригодным для запуска где-либо за пределами Windows.

Кто именно разрабатывал программу, остается неизвестным. По мнению экспертов «Доктор Веб», большого багажа знаний в программировании и в ИТ в целом у автора нет. «Человек, похоже, без особых навыков или ресурсов - для создания сайта использовался конструктор сайтов platformalp, для хранения сэмплов бесплатные сервисы Mega, Discord и GitHub», – сообщили они CNews.

Сам по себе файл содержит в себе троян, без ведома пользователя ворующий все его пароли, в том числе и к учетным записям в различных сервисах. Это и социальные сети, и интернет-магазины, и даже интернет-банки, что создает угрозу утечки не только персональных данных, но и денег. В «Доктор Веб» уточнили CNews, что программа также крадет cookie-файлы и данные платежных карт из браузеров и буфера обмена.

qr602.webp
Такой поддельный сертификат якобы получит запустивший генератор пользователь. Адрес сайта госуслуг указан с ошибками
Помимо своей основной функции утилита в фоновом режиме подгружает два дополнительных трояна, первый из которых превращает компьютер пользователя в устройство для майнинга криптовалюты. Это сразу повышает нагрузку на основные компоненты ПК, что может ускорить их выход из строя, в том числе из-за перегрева. При этом вся полученная криптовалюта осядет в кошельке хакера – сам пользователь может даже не узнать, что его ПК использовался кем-то для майнинга.

Второй троян, так называемый «клиппер», подменяет скопированные пользователем адреса криптовалютных кошельков и платежных систем на заранее указанные хакером. Например, если пользователь, чей ПК заражен клиппером, хочет отправить деньги на чей-либо криптокошелек и копирует адрес этого кошелька в буфер обмена, то троян увидит это подменит скопированный адрес на указанный мошенником. Транзакция состоится, вот только деньги получит вовсе не требуемый адресат, а тот, кто подсадил на компьютер трояна.

Пока неясно, есть ли в двух дополнительных троянах аналогичная функция скачивания других вредоносов. Если таковая имеется, то ПК пользователя, пожелавшего сгенерировать QR-код вакцинированного, может превратиться в рассадник сомнительного ПО. Если среди таких программ окажется шифровальщик, то пользователь может лишиться всей своей информации.

При всем вышеперечисленном основная функция программы, заявленная разработчиками, не работает. Как сообщили CNews представители «Доктор Веб», у нее даже нет интерфейса, пользователю попросту не с чем взаимодействовать. Другими словами, скачав псевдо-генератор, пользователь не получит заветный «ключ», открывающий перед ним двери кинотеатров, магазинов и других общественных мест, в том числе и городского транспорта.

Очень популярная услуга​

На фоне многочисленных ограничений, с которыми сталкиваются россияне, по тем или иным причинам еще не получившие QR-код, в Сети стало появляться все больше сайтов и программ, предлагающих оформить этот код без особого труда. В подавляющем большинстве случаев за такими сервисами стоят мошенники, желающие поживиться персональными данными и деньгами доверчивых россиян.

QR-коды как меры противодействия распространению коронавируса в России начали широко использоваться весной 2021 г. Тогда же Рунет и захлестнула волна поддельных сервисов по их предоставлению и не менее недостоверных копий сайта госуслуг.

qr603.webp
Одна из причин популярности среди россиян услуг по подделке QR-кодов
И чем дальше, тем этих волн становилось больше. Так, в конце октября 2021 г., когда появилась информация о возможном очередном локдауне, всего за три дня в российском сегменте интернета появилось 48 клонов сайта «Госуслуг».

По данным «Коммерсанта», в «обычные» дни, когда нет угрозы очередной самоизоляции, в день появляется не более двух таких ресурсов. На такие сайты ведут фальшивые QR-коды о вакцинации и прохождении ПЦР-теста. Точное число ныне активных копий «Госуслуг» не установлено. Согласно статистике Минцифры, ежемесячно в блокировку попадают 100-200 таких ресурсов.

«Такие домены злоумышленники могут использовать для продажи фальшивых QR-кодов или же фишинга – доступа к персональным данным пользователя или же заражения его устройства вирусом», – сообщил «Коммерсанту» ведущий аналитик Infosecurity a Softline Company Александр Вураско. С его слов, всплеск роста числа поддельных сайтов госуслуг напрямую связан с ростом спроса на поддельные справки о вакцинации, особенно в период локдаунов.

CNews
 
Последнее редактирование модератором:
В Сети появился новый виде мошенничества, связанного с пандемией. Злоумышленники начали распространять вредоносное программное обеспечение под видом сервиса для генерации поддельных QR-кодов о вакцинации. Об этом 3DNews рассказали эксперты Dr.Web.

sm.1.750.webp
Источник: Pixabay​

По словам специалистов, мошенники спекулируют на теме грядущего законопроекта о QR-кодах. Злоумышленники предлагают пользователям скачать программу, пока она бесплатно распространяется. При скачивании на устройстве пользователя появляется несколько вредоносных файлов — стилер для кражи паролей, и два трояна (майнер и клипер).
Разработчики не уточнили когда началось распространение мошеннического ПО, но их скачивание ставит под угрозу сохранность всех данных пользователя, включая соцсети, онлайн-банки и криптокошельки. Сколько пользователей пострадало, также не уточняется.

Источник:
  • Dr.Web
 
Назад
Сверху Снизу