Кибер-престъпници използват нарастващата популярност на NFT технологията, за да подмамват жертвите да изтеглят и инсталират злонамерен софтуер. После те използват системата, за да „отвлекат” компютрите на потребителите и да крадат потребителски имена и пароли, предупредиха специалисти по сигурността.
Изследователите от Fortinet са забелязали интересно явление, което описват като „особено изглеждаща електронна таблица в Excel”. Тя претендира да съдържа „важна” информация за NFT. Това лесно изкушава заинтересованите да я изтеглят. Но истинската цел на файла е да подпомогне „доставката” на злонамерен софтуер, известен като BitRAT, съобщи ZDNet.
Опасен троянец
BitRAT е троянски кон за отдалечен достъп (RAT), който за първи път се появи за продажба в „тъмните” форуми през август 2020 г. Той е забележителен с това, че лесно може да заобиколи контрола на потребителските акаунти (UAC) – функция на Windows, която помага за предотвратяване на неоторизирани промени в операционната система.
Злонамереният софтуер се предлага с различни троянски функции, включително възможност за кражба на идентификационни данни за влизане от браузъри и приложения, подслушване и записване на клавишни комбинации, както и изтегляне на файлове. Най-новото издание на BitRAT може да наблюдава екрана на жертвата в реално време, да използва наличната уебкамера и да слуша аудио през микрофона.
Как злонамереният Excel файл се разпространява сред жертвите? Специалистите не споделят много подробности, но казват, че файлът има претенцията, че „предлага информация за прогнозите за потенциалната възвръщаемост на инвестициите [в NFT] и броя на наличните NFT във всяка серия”. Съдържа препратки към съвсем легитимни Discord канали на тема NFT. Това означава, че „ловува” за ентусиасти на тема NFT.
Excel файлът съдържа злонамерен макрос. Когато той бъде активиран, изпълнява PowerShell скрипт, който извиква и изтегля злонамерен софтуер. След това тихичко го стартира на компрометираната машина.
Плодородна почва
NFT (незаменими токени) са цифрови токени, които използват блокчейн технологията за проверка на автентичността на цифровото съдържание и собствеността. Шумът около изкуството във вид на NFT и други колекционерски предмети означава, че отделните произведения могат да сменят собствениците си срещу колосални суми пари.
Когато са замесени медиен шум и пари, хората бързо биват заинтригувани. Мнозина биват изкушени да „инвестират”. Но кибер-престъпниците винаги търсят точно такива нови тенденции и теми, за да ги използват, така че да подмамят жертвите да отварят фишинг имейли или да изтеглят злонамерен софтуер. Ето, че сега те използват интереса към NFT.
В допълнение към събирането на данни и подслушването на жертвата, BitRAT може също да инсталира злонамерен софтуер за криптоджакинг на заразената машина. Криптоджакинг е „отвличане” на изчислителната мощност, т.е. процесорния капацитет, за добиване на криптовалути. Иначе казано, потребителят не подозира, че някой използва компютъра му, за да „копае” виртуални пари.
Не само NFT
Тъй като NFT могат да сменят собствениците си за големи суми пари, кибер-престъпниците зад тази кампания са доста добре „финансово мотивирани”. Но техни жертви могат да станат и хора, които нямат NFT, а просто се интересуват от темата. От тях могат да бъдат откраднати лични данни, логин данни за банкови профили и др. Всичко това може да бъде изключително ценно за нападателите – и вредно за жертвите.
„Имайте предвид, че нападателите често използват атрактивни и модерни теми като примамки. Тъй като NFT стават все по-популярни, те ще бъдат използвани за привличане на жертвите да отварят злонамерени файлове или да кликат върху злонамерени препратки”, предупреждават изследователите от Fortinet.
Те препоръчват да се подхожда със здравословна доза подозрителност към щедро поднасяна „полезна информация” във вид на файлове за изтегляне. „Стандартните практики за сигурност, като например да не се отварят файлове, получени от ненадеждни или подозрителни източници, могат да попречат на измамниците да получат достъп до парите и ценните данни на потребителите”.