Анализ угрозы imad213: кража данных в Instagram через фейки

Команда Socket по исследованию угроз провела расследование, выявив новую вредоносную программу под названием imad213, созданную хакером с псевдонимом im_ad__213. Эта вредоносная утилита, маскирующаяся под инструмент для увеличения количества подписчиков в Instagram (социальная сеть, принадлежащая запрещённой в России и признанной экстремистской американской корпорации Meta), представляет серьёзную угрозу безопасности личных данных пользователей.

Как действует вредоносное ПО imad213

«Сборщик учетных данных» imad213 написан на Python и использует несколько методов, позволяющих скрыть своё истинное назначение:

• Кодирование base64 для маскировки кода;
• Удалённый переключатель блокировки с помощью управляющего файла, размещённого на Netlify;
• Профессиональное оформление проекта на GitHub с README, содержащим вводящие в заблуждение инструкции по технике безопасности;
• Механизм проверки запуска через подключение к внешнему серверу, позволяющий злоумышленнику мгновенно отключать копии программы при необходимости.

После установки imad213 запрашивает у пользователя учетные данные Instagram под предлогом увеличения подписчиков, однако в реальности тайно передает их сразу нескольким сторонним бот-сервисам.

Маскировка и обман пользователей

Разработчик предлагает использовать временную учетную запись, создавая у пользователей впечатление безопасности для своих основных аккаунтов. Тем временем злоумышленники получают реальный доступ к учетным данным.

Вредоносный пакет на GitHub сопровождается инструкцией, которая якобы призвана помочь пользователям избежать проблем безопасности. Однако это всего лишь способ создать ложное чувство доверия.

Распространение и управление вредоносной программой

Вероятный канал распространения — тематические форумы и платформы, такие как Discord, где пользователи ищут «способы взлома». Особенностью imad213 является возможность удалённого управления через контрольный файл на Netlify, что позволяет злоумышленникам быстро блокировать вредоносное ПО в случае вмешательства правоохранителей или других рисков.

Скоординированная сеть бот-сервисов

Собранные с помощью imad213 учетные данные сохраняются в открытом виде на локальном устройстве, а затем пересылаются сразу десяти связанным бот-сервисам. Эти сервисы маскируются под законные платформы для роста подписчиков, имеют схожую инфраструктуру и регистрационные данные, что указывает на единую координацию.

• Хранение украденной информации;
• Возможная продажа учетных данных на чёрном рынке;
• Использование скомпрометированных аккаунтов для рассылки спама и проведения дальнейших атак.

Опасность для пользователей и последствия

Нацеленность на Instagram и другие соцсети объясняется высокой ценностью этих платформ для хакеров. Частое повторное использование паролей пользователями увеличивает риски значительных утечек и масштабных взломов.

Последствия для жертв могут включать:

• Взлом аккаунтов в Instagram и других соцсетях;
• Раскрытие личной информации и связей;
• Блокировки и приостановки аккаунтов за нарушение Terms of Use Instagram вследствие использования автоматизированных сервисов.

Учитывая огромную аудиторию Instagram, инциденты с кражей учетных данных представляют серьёзную угрозу масштабного характера, увеличивая шансы злоумышленников на успешные атаки.

Заключение

Раскрытие вредоносного ПО imad213 подчеркивает актуальность постоянных угроз, связанных с механизмами сбора учетных данных, которые апеллируют к стремлению пользователей к популярности в социальных сетях. Игнорирование рисков и использование таких инструментов может привести к серьёзным нарушениям конфиденциальности и безопасности.

Эксперты рекомендуют быть крайне осторожными с предложениям, обещающими быстрый рост подписчиков, и не доверять сомнительным программам и сервисам, даже если они выглядят профессионально и содержат «официальные» инструкции.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.