- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 4ч 33м
- Сделки
- 251
- Нарушения
- 0 / 0
При открытии информации о NFT жертва видит уведомление от "разработчиков" криптокошелька, в котором говорится, что выпущено новое обновление безопасности и для его загрузки необходимо как можно скорее посетить веб-сайт из названия или перейти по ссылке, вложенной в сообщение. Если пользователь переходит по ссылке, то на его устройство загружается bat-файл под названием Phantom Update 2022-10-08.bat с DropBox.
Оказавшись на устройстве, батник проверяет, запущен ли он с правами администратора. Если нет, то запросит разрешение на запуск от имени администратора.
Если жертва даст нужное разрешение, то будет запущен PowerShell-скрипт, который расшифровывает все последующие команды для выполнения. Цепочка команд приведет к тому, что с GitHub будет загружен exe-файл под названием windll32.exe и запущен из папки C:\Users\<username>\AppData\Local.
По данным VirusTotal, загруженный файл представляет собой инфостилер, который крадет историю браузера, cookie-файлы, сохраненные пароли, а также SSH-ключи и другую информацию. И хотя неизвестно, какой вредонос используется в текущей кампании, в предыдущих атаках злоумышленники заражали жертв программой MarsStealer.
Специалисты считают, что целью текущей кампании является кража криптовалюты с кошельков жертв и компрометация учетных записей на других платформах.
Всем, кто установил поддельное обновление безопасности Phantom, должны немедленно проверить свой компьютер с на наличие вредоносного ПО, перевести все свои криптовалютные средства и активы на другие кошельки, а также сменить пароли на всех сайтах, уделяя особое внимание криптобиржам, банковским счетам и электронной почте.
