СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Новости
Артем
2 часа назад
#ИБ

Хакеры взламывают новостные сайты и обзоры для рекламы вредоносного ПО для кражи криптовалюты

Хакеры взламывают новостные сайты и обзоры для рекламы вредоносного ПО для кражи криптовалюты

изображение: grok

Специалисты Check Point Research раскрыли крупную кампанию по распространению вредоноса класса clipboard hijacker, который подменяет адреса криптокошельков в буфере обмена жертвы. Под удар попали пользователи Windows и macOS, а сама операция построена как полноценная рекламная стратегия с использованием новостных площадок, GitHub, SourceForge и YouTube.

Замысел злоумышленников строится на том, чтобы жертва сама захотела установить программу. Никакого взлома, никакой эксплуатации уязвимостей, никаких вложений в письмах. Человек ищет в поиске обзоры утилиты, видит десятки положительных упоминаний на разных ресурсах, читает пресс-релизы, смотрит видео и принимает решение скачать продукт. Дальше работа вредоноса сводится к простому фокусу. Программа фоном отслеживает буфер обмена, ловит момент, когда пользователь копирует адрес криптокошелька, и подменяет его на адрес преступников. Перевод уходит не туда, куда планировал отправитель.

Сама схема маскировки выстроена с размахом. У операции есть центральный сайт-витрина, вокруг которого собрана разветвлённая сеть вспомогательных ресурсов. Эти ресурсы создают у пользователя ощущение, что продукт давно живёт в сообществе разработчиков и пользуется спросом.

Для построения этой легенды злоумышленники задействовали:

  • множество поддельных репозиториев на GitHub и SourceForge с фиктивных учётных записей;
  • собственный канал на YouTube, где ролики озвучены ИИ-голосами;
  • накрученные просмотры и волну однотипных положительных комментариев под видео;
  • публикации через сервисы распространения пресс-релизов;
  • сети поддельных аккаунтов для манипуляций с оценками на репутационных сервисах.

Стоит обратить внимание, что злоумышленники впервые в таком масштабе использовали инфраструктуру распространения пресс-релизов. Эти площадки исторически воспринимаются аудиторией как полуофициальный источник, рядом с корпоративными новостями и сообщениями для инвесторов. Появление вредоносного продукта в подобном окружении автоматически снимает у читателя половину вопросов.

Отдельная история с репутационными сервисами. Преступники зарегистрировали большой парк фиктивных профилей, которые на платформах вроде VirusTotal помечали срабатывания антивирусов как ложные. Получалось так, что человек, решивший перепроверить файл перед запуском, видел не предупреждение, а согласованный хор голосов о том, что детекты ошибочны.

Параллельно работала видеосоставляющая. Ролики на YouTube собирали по нескольку тысяч просмотров за короткий срок, под ними появлялись комментарии в духе «работает отлично», «давно пользуюсь», «спасибо разработчику». Голос диктора в роликах был синтезирован нейросетью, что позволяло выпускать видео конвейером, не привлекая реальных людей и не оставляя голосовых отпечатков.

Атака бьёт сразу по двум платформам, и это меняет привычную картину угроз для владельцев криптоактивов:

  • сборка под Windows распространяется через якобы легитимные обзоры утилит;
  • версия под macOS подаётся как удобный инструмент для пользователей Apple;
  • обе ветки используют один и тот же механизм подмены адресов;
  • инфраструктура продвижения для двух платформ устроена одинаково;
  • жертвой может стать любой держатель криптовалюты, копирующий адрес кошелька руками.

Интересно, что внутри отрасли подобный подход уже называют переходом от технической атаки к маркетинговой. Преступники тратят ресурсы не на поиск уязвимостей, а на построение положительного информационного фона вокруг своего продукта. По сути, они работают как небольшое агентство по продвижению, только конечным результатом становится кража денег у пользователя.

Эффект от такой схемы держится на психологии. Когда вредонос лежит на сомнительном сайте, человек насторожён. Когда тот же файл рекомендуют десятки источников, проверенные обзорщики и пресс-релизы, защитный рефлекс отключается. Стандартный совет проверить программу по отзывам перестаёт работать, потому что отзывы тоже подделаны.

Какие выводы из этого можно сделать обычному пользователю криптовалют:

  • проверять адрес кошелька символ в символ перед каждой отправкой средств;
  • не доверять единодушно положительным отзывам, даже если их сотни;
  • сверять подпись разработчика и репутацию учётной записи на GitHub отдельно;
  • относиться к пресс-релизам как к рекламе, а не как к независимой публикации;
  • запускать незнакомые утилиты в изолированной среде до первого реального использования.

Check Point Research подчёркивает, что описанная операция нацелена прежде всего на частных держателей криптовалюты, но логика её построения легко переносится на корпоративный сегмент. Те же приёмы продвижения могут применяться для распространения шпионских модулей, инфостилеров и средств первичного доступа в сети компаний. По мере того как репутация цифровых ресурсов становится товаром, который можно купить или подделать пакетом, традиционные ориентиры доверия теряют силу.

Ранее мы писали о том, что исследование Sophos Counter Threat Unit зафиксировало необычную дискуссию среди участников даркнет-форумов и закрытых Telegram-каналов. Киберпреступники начали всерьёз обсуждать вероятность того, что развитие искусственного интеллекта может сократить их доходы и заменить часть привычных преступных схем. Парадокс ситуации заключается в том, что сами злоумышленники уже активно используют нейросети для создания фишинговых сообщений, написания вредоносного кода, подготовки мошеннических материалов и автоматизации атак, одновременно опасаясь, что дальнейшее развитие ИИ оставит без заработка даже представителей киберпреступного мира.

Эксперты редакции CISOCLUB заявили, что описанная кампания обозначает переломный момент в подходе к распространению вредоносного программного обеспечения. Преступники окончательно перешли от технических трюков к индустриальному производству фальшивой репутации, и эта модель будет масштабироваться. Антивирусные движки и репутационные сервисы перестают быть последней линией обороны, потому что их вердикты теперь тоже становятся объектом манипуляции через сети поддельных аккаунтов.

Пользователю придётся выработать новую привычку — оценивать не количество положительных упоминаний программы, а их источник и независимость. Корпоративным службам защиты стоит пересмотреть процедуры одобрения внешнего ПО и перестать опираться на публичные обзоры как на показатель безопасности. В ближайший год редакция ожидает появления аналогичных кампаний, нацеленных уже не на криптокошельки, а на корпоративные среды и цепочки поставок.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: