بیش از 28.000 نفر از روسیه، ترکیه، اوکراین و سایر کشورهای منطقه اوراسیا، در مقیاس بزرگ تحت تأثیر کمپین بدافزار سرقت رمز ارز قرار گرفتند.
این کمپین بدافزار در قالب یک نرمافزار قانونی که از طریق ویدئوهای یوتیوب و مخازن جعلی GitHub تبلیغ میشود و قربانها آرشیوهای محافظت شده با رمز عبور را دانلود میکنند که باعث آلودگی میشوند. به گفته شرکت امنیت سایبری Dr. Web، این کمپین از نرمافزارهای سرقت اداری، تقلبها و هکهای بازی و حتی رباتهای تجاری خودکار برای فریب کاربران جهت دانلود فایلهای مخرب استفاده میکند. در مجموع این کمپین بدافزار بیش از 28.000 نفر را تحت تأثیر قرار داده است که اکثر آنها ساکنان روسیه هستند. همچنین میزان قابل توجهی از آلودگی در بلاروس، ازبکستان، قزاقستان، اوکراین، قرقیزستان و ترکیه مشاهده شده است.
آلودگی با باز کردن یک آرشیو خود استخراجشونده (self-extracting) شروع میشود که هنگام دانلود به دلیل محافظت با رمز عبور از اسکن آنتیویروس فرار میکند. بدین ترتیب، پس از اینکه قربانی رمز عبور ارائه شده را وارد کرد، آرشیو اسکریپتهای مبهم مختلف، فایلهای DLL و یک AutoIT interpreter که برای راهاندازی لودر دیجیتالی امضا شده payload اصلی استفاده میشود را دراپ میکند. این بدافزار همچنین میتواند اطلاعات سیستم از جمله اجرای فرآیندهای امنیتی را جمعآوری کند که از طریق ربات تلگرام استخراج میشود.
https://www.bleepingcomputer.com/news/cryptocurrency/crypto-stealing-malware-campaign-infects-28-000-people/
