GadbaG

Раскрыта операция по распространению бэкдора под видом ПО для трейдинга ( 1 фото )


Раскрыта операция по распространению бэкдора под видом ПО для трейдинга Интернет и компьютеры,jmt trader,вредоносное ПО,Пользователи,частные лица

Злоумышленники скопировали легитимное ПО QT Bitcoin Trader и распространяют его вредоносную версию под названием JMT Trader.

Исследователь безопасности, известный как MalwareHunterTeam, обнаружил новую схему распространения ПО для трейдинга криптовалюты, устанавливающего бэкдор на компьютеры под управлением macOS и Windows.

По словам исследователя, злоумышленники создали фиктивную компанию, предлагающую бесплатную трейдинговую платформу под названием JMT Trader. Во время ее установки на компьютер также устанавливается троян.

Для того чтобы у жертв не возникало никаких сомнений в легитимности JMT Trader, мошенники создали качественно оформленный сайт и завели соответствующую страницу в Twitter (правда, последняя запись на ней датирована еще июнем нынешнего года).

При попытке установить JMT Trader жертва попадает в репозиторий GitHub, откуда можно скачать исполняемые файлы приложения для macOS и Windows, а также исходный код платформы для тех, кто хочет скомпилировать ее под Linux. Исходный код не является вредоносным.

С помощью JMT Trader пользователь может создавать различные профили на биржах и вполне легитимно использовать их для трейдинга криптовалюты. Дело в том, что само приложение и его страница на GitHub полностью скопированы с подлинной программы QT Bitcoin Trader, которую злоумышленники приспособили под свои цели.

В процессе инсталляции JMT Trader установщик также распаковывает вторичное ПО CrashReporter.exe и сохраняет его в папку %AppData%JMTTrader. Данный компонент является вредоносным и детектируется только 5 из 69 решений безопасности на VirusTotal.

После установки создается запланированная задача JMTCrashReporter для запуска исполняемого файла CrashReporter.exe при каждой авторизации пользователя на компьютере. Когда вредоносный файл запустился, бэкдор подключается к C&C-серверу beastgoc[.]com и получает от него команды.

Загружает ли бэкдор дополнительное вредоносное ПО, или просто используется для похищения криптовалютных кошельков и учетных данных для авторизации на биржах, пока неизвестно. Тем не менее, проанализировав вредоносную кампанию, MalwareHunterTeam обнаружил большое сходство с другой вредоносной операцией под названием AppleJeus, за которой предположительно стояла киберпреступная группировка Lazarus.

Взято: Тут

+2268
  • 0
  • 1 708
Обнаружили ошибку?
Выделите проблемный фрагмент мышкой и нажмите CTRL+ENTER.
В появившемся окне опишите проблему и отправьте уведомление Администрации.
Нужна органическая вечная ссылка из данной статьи? Постовой?
Подробности здесь

Добавить комментарий

  • Внимание!!! Комментарий должен быть не короче 40 и не длиннее 3000 символов.
    Осталось ввести знаков.
    • angelangryapplausebazarbeatbeerbeer2blindbokaliboyanbravo
      burumburumbyecallcarchihcrazycrycup_fullcvetokdadadance
      deathdevildraznilkadrinkdrunkdruzhbaedaelkafingalfoofootball
      fuckgirlkisshammerhearthelphughuhhypnosiskillkissletsrock
      lollooklovemmmmmoneymoroznevizhuniniomgparikphone
      podarokpodmigpodzatylnikpokapomadapopapreyprivetprostitequestionrofl
      roseshedevrshocksilaskuchnosleepysmehsmilesmokesmutilisnegurka
      spasibostenastopsuicidetitstorttostuhmylkaumnikunsmileura
      vkaskewakeupwhosthatyazykzlozomboboxah1n1aaaeeeareyoukiddingmecerealguycerealguy2
      challengederpderpcryderpgopderphappyderphappycryderplolderpneutralderprichderpsadderpstare
      derpthumbderpwhydisappointfapforeveraloneforeveralonehappyfuckthatbitchgaspiliedjackielikeaboss
      megustamegustamuchomercurywinnotbadnumbohgodokaypokerfaceragemegaragetextstare
      sweetjesusfacethefuckthefuckgirltrolltrolldadtrollgirltruestoryyuno