СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
Вчера в 15:24
#ИБ

Многоплатформенный шифровальщик крадет криптовалюту и данные

Специалисты по кибербезопасности выявили сложную многоплатформенную вредоносную кампанию crpx0, ориентированную прежде всего на Windows и macOS, с возможной последующей поддержкой Linux. Атака строится вокруг социальной инженерии: пользователям предлагают обманные материалы, связанные с аккаунтами OnlyFans, после чего заражение начинается через вредоносный ZIP-архив с замаскированным ярлыком.

Как работает цепочка заражения

После запуска ярлык выполняет команды, создающие папку для полезной нагрузки, и загружает VBScript, который становится ключевым элементом дальнейшего развития атаки. Затем вредоносное ПО использует многоэтапную систему загрузчика, задействуя Python для загрузки, установки и выполнения различных компонентов в скрытном режиме.

Отдельно отмечается использование PowerShell для получения дополнительных модулей при сохранении незаметности для пользователя. Такая схема позволяет атакующим гибко управлять последовательностью заражения и усложняет обнаружение.

Закрепление в системе и связь с C2

Вредоносная программа внедряет механизмы закрепления как в средах Windows, так и macOS. Для этого создаются записи автозагрузки либо файлы LaunchAgent, что обеспечивает повторный запуск после перезагрузки системы.

После активации crpx0 передает на сервер управления C2 сведения об аппаратном и системном окружении зараженного устройства. Это позволяет злоумышленникам отслеживать скомпрометированные машины и адаптировать последующие действия под конкретную среду.

Кража криптовалюты и сбор seed-фраз

Функциональность кампании включает перехват буфера обмена для кражи криптовалюты. Вредоносное ПО незаметно подменяет скопированные адреса кошельков на адреса, контролируемые злоумышленниками, из-за чего средства могут быть отправлены не туда, куда намеревался пользователь.

Кроме того, crpx0 способно собирать seed-фразы, что дает атакующим прямой доступ к криптовалютным кошелькам жертв и значительно повышает риск полной потери активов.

Переход к ransomware

Угроза не ограничивается кражей данных и криптовалюты: кампания перерастает в ransomware, способное шифровать файлы пользователей и выводить сообщения с требованием выкупа на нескольких языках. Это типичная стратегия double extortion: помимо шифрования, злоумышленники угрожают публичной публикацией похищенных данных в случае отказа от оплаты.

Для давления на жертв также используется leak site, что подчеркивает организованный и системный характер операции.

Что именно под ударом

Шифрованию подвергается широкий набор файловых расширений, что позволяет нанести существенный ущерб пользовательским данным и рабочим материалам. При этом критические системные каталоги остаются нетронутыми, чтобы устройство продолжало функционировать и жертва сохраняла возможность взаимодействовать с атакующими.

  • Windows и macOS — основные цели кампании;
  • Linux рассматривается как возможная будущая платформа;
  • используются ZIP-архивы, VBScript, Python и PowerShell;
  • применяются механизмы persistence;
  • реализованы кража криптовалюты, сбор seed-фраз и ransomware-функции.

Модульная архитектура и самообновление

Инфраструктура crpx0 построена модульно и способна менять свои возможности в зависимости от среды и поведения пользователя. Это делает кампанию особенно опасной: отдельные компоненты могут активироваться по мере необходимости, а не сразу после заражения.

Дополнительный риск создает функция обновления до более новых версий. Такой механизм повышает устойчивость вредоносного ПО к средствам обнаружения и противодействия, а также помогает злоумышленникам оперативно адаптировать инструментарий.

Почему это важно

Архитектура и операционный охват crpx0 указывают на высокий уровень технической зрелости кампании. Она сочетает social engineering, многоступенчатую загрузку, persistence, кражу криптоактивов и ransomware с double extortion, что делает угрозу комплексной как для частных пользователей, так и для корпоративных сред.

Эксперты подчеркивают: для снижения рисков необходимы надежные меры защиты, включая контроль запуска вложений, ограничение прав, мониторинг сетевой активности и своевременное обновление систем.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: