Исследователь под ником MalwareHunterTeam сообщил об обнаружении очередной преступной схемы, нацеленной на активных пользователей криптовалют. Неизвестные злоумышленники основательно подошли к вопросу, объявив о создании ни много ни мало бесплатной трейдинговой платформы JMT Trader, позволяющей совершать операции с криптовалютами на ведущих биржах. Они также запустили весьма качественно сделанный сайт JMT Trader и аккаунт платформы в Twitter (последний, впрочем, не подает признаков жизни уже с июня).
Ссылка на загрузку самой программы JMT Trader ведет в GitHub-репозиторий, откуда можно скачать файлы для установки Windows- и macOS-версий, а также исходный код для компиляции платформы под Linux-системы. При этом файлы не являются вредоносными, более того, JMT Trader действительно позволяет выполнять все те операции, которые рекламирует. Это не должно удивлять, поскольку в реальности программа является всего лишь клоном легитимного ПО QT Bitcoin Trader. Однако в процессе установки запускается еще и загрузка программы CrashReporter.exe, которая является зловредом, хотя и не слишком известным: в настоящий момент она детектируется как вредоносная лишь 5 из 69 защитных решений в базе VirusTotal.
CrashReporter.exe – бэкдор, запускающийся при каждой авторизации пользователя в системе. Он устанавливает связь с командными серверами киберпреступников, похищает криптовалютные кошельки, логины и пароли, а также может использоваться для загрузки дополнительного вредоносного ПО. Исследователи отмечают, что нынешние атаки JMT Trader имеют немало общего с киберпреступной операцией AppleJeus, раскрытой специалистами «Лаборатории Касперского» в 2018 году. Предполагается, что за атаками AppleJeus стояли хакеры северокорейской группировки Lazarus.
Источник: Bleeping Computer
г. Москва, улица 8 марта, дом 1, строение 12 (БЦ Трио, первая башня)
+7 495 730-29-69 info@tcinet.ru
+7 495 730-29-70
