Безопасность

Блокчейн-ботнет Glupteba вновь заражает компьютеры

Вредоносное программное обеспечение Glupteba снова заражает компьютеры несмотря на попытки Google пресечь распространение вируса

Ботнет Glupteba на базе сети Bitcoin снова атакует компьютеры, чтобы украсть конфиденциальные данные. Об этом сообщают исследователи IT-фирмы Nozomi.

Вредоносное программное обеспечение (ПО) вновь начало распространяться летом 2022 года несмотря на успешные попытки Google засудить разработчиков Glupteba Дмитрия Старовикова и Александра Филиппова. По данным Nozomi, как минимум пять обменников и криптобирж спонсируют деятельность вируса еще с 2019 года. О каких именно площадках идет речь, неясно.

Впервые ботнет Glupteba заметили эксперты ESET еще в 2011 году. Вирус распространяют через торрент-площадки в виде пиратского ПО. Заражая компьютер жертвы, вирус крадет конфиденциальные данные, включая файлы cookie.

Биткоин-адрес спрятан среди функций вредоносной программы. Источник: nozominetworks.com

Главное отличие Glupteba от других вирусов кроется в удаленном управлении через блокчейн-сеть Bitcoin. Злоумышленники передают вирусу данные о серверах для кражи данных с помощью адресов биткоин-кошельков, которые хранят зашифрованную информацию в истории своих транзакций.

В конце сентября IT-исследователи нашли новый вирус под названием Erbium, который распространяется под видом читов для видеоигр. Впервые вирус появился на русскоязычном форуме в июле 2022 года. Однако остается неясно, кто именно создал вредоносный софт.

Среди злоумышленников вирус распространяется по модели подписки. На старте своего существования вирус стоил $9 в неделю, а в конце августа цена подскочила до $100. Годовая подписка обходится в $1000.

Помимо данных cookie, софт также крадет пароли от криптовалютных кошельков, установленных в виде браузерного расширения. Под угрозой кошельки MetaMask, Phantom, Coin98 Wallet, MEW CX, BitApp Wallet и десятки других. Вирус также охотится за данными десктопных приложений вроде Exodus, Atomic Wallet, Electrum, Coinomi и другие.

Кроме того, вредоносное ПО крадет скриншоты, токены аутентификации в Steam и Discord, данные для входа в Телеграм и данные операционной системы. Следы программы замечены в США, Испании, Турции, Румынии, Индии и паре других стран, однако на рынке СНГ его, по неизвестным причинам, нет.

   

Источник

Click to rate this post!
[Total: 0 Average: 0]
Показать больше

Добавить комментарий