Криптоинвесторы подвергаются атаке нового вредоносного ПО, обнаруживает Cisco Talos

С декабря 2022 года два вредоносных файла - MortalKombat ransomware и Laplas Clipper - активно рыскают по Интернету и похищают криптовалюты у неосторожных инвесторов, сообщила группа исследования угроз Cisco Talos. Жертвы кампании находятся преимущественно в США, меньший процент жертв приходится на Великобританию, Турцию и Филиппины.

Вредоносные программы работают в партнерстве, чтобы подхватить информацию, хранящуюся в буфере обмена пользователя, который обычно представляет собой строку букв и цифр, скопированных пользователем. Затем инфекция обнаруживает адреса кошельков, скопированные в буфер обмена, и заменяет их на другой адрес.

Атака полагается на невнимательность пользователя к адресу кошелька отправителя, который отправит криптовалюты неизвестному злоумышленнику. Не имея очевидной цели, атака охватывает частных лиц, а также малые и крупные организации.

После заражения программа MortalKombat ransomware шифрует файлы пользователя и высылает записку с инструкциями по оплате, как показано выше. Раскрывая ссылки на скачивание (URL), связанные с атакующей кампанией, в отчете Talos говорится следующее:

"Одна из них ведет на контролируемый злоумышленниками сервер через IP-адрес расположенный в Польше, чтобы загрузить программу MortalKombat ransomware". Согласно анализу Talos, запущен RDP crawler, сканирующий интернет на предмет открытого RDP-порта 3389".

Как пояснили в Malwarebytes, "кампания таг-team" начинается с письма на криптовалютную тематику, содержащего вредоносное вложение. Вложение запускает BAT-файл, который при открытии помогает загрузить и выполнить программу-вымогатель.

Благодаря раннему обнаружению вредоносных программ с высоким потенциалом, инвесторы могут заблаговременно предотвратить эту атаку, чтобы она не повлияла на их финансовое благополучие.