В мире кибербезопасности вновь вспыхнула тревога: исследователи обнаружили новую malicious Chrome-расширение, которое скрывает вредоносное ПО с целью кражи криптовалюты и личной информации пользователей. Эта операция имеет все признаки высокоорганизованной преступной схемы, а значит, угроза не просто теоретическая — речь идет о реальных жертвах и серьезных финансовых потерях. Согласно отчету, опубликованному командой Cybernews, выяснилось, что злоумышленники создавали расширение под названием SpiderX, которое циркулировало в интернет-пространстве, маскируясь под полезный инструмент для хранения и управления данными. Несмотря на свою простоту, это расширение оказалось достаточно мощным, чтобы обходить стандартные системы обнаружения вредоносного ПО и приводить к заражению устройств пользователей. Эта схема была вскрыта после того, как один из злоумышленников оставил открытым экземпляр Elasticsearch, который содержал критически важные данные о его деятельности.
Исследователи Cybernews смогли обнаружить и проанализировать эту информацию, предоставив уникальные данные о масштабах операции и методах, используемых киберпреступниками. SpiderX притягивает жертв под ложным предлогом помощи в восстановлении украденных криптоактивов. Злоумышленники рассылают спам-сообщения от имени различных агентств по восстановлению крипты, торговых платформ и даже регуляторных органов, таких как Финансовое управление Великобритании. Жертвам подается информация о том, что их криптоактивы были украдены, и предлагается «восстановить» их, если они просто установят расширение SpiderX. Жертвы, оставившие свои контактные данные, получают инструкцию о том, как загрузить это расширение.
После установки SpiderX начинает выполнять свои злонамеренные функции, такие как сбор логинов и паролей, создание скриншотов и отслеживание истории браузинга. Злоумышленники, известные своей безжалостной тактикой, ориентируются на тех, кто уже стал жертвой предыдущих мошеннических схем в области криптовалют, надеясь на то, что они будут готовы заплатить. Несмотря на свою несложность и явную злонамеренность, разработка SpiderX до сих пор не была распознана антивирусными системами. Исследования показали, что расширение не обфусцировано, и его код можно было легко проанализировать: он собирает информацию и передает её на удаленный сервер. Но почему же такая явная угроза сходит с рук? Исследователи предполагают, что основным фактором может быть отсутствие достаточного контроля со стороны магазинов расширений браузеров.
Например, расширение было размещено в Chrome Web Store, где перед его установкой пользователи не смогли заметить никакого криминала. Операция SpiderX также помещения использует свою уникальную инфраструктуру интернета. Злоумышленники создали целую сеть сайтов и аккаунтов в мессенджерах, по которым они могут общаться с потенциальными жертвами. Они даже использовали облачные серверы, чтобы скрыть свое местоположение и сделать более сложным расследование со стороны полиции. Одним из замечательных аспектов этой истории стал вопрос о низком уровне операционной безопасности самих злоумышленников.
Они использовали свои реальные личные данные и даже тестировали свои инструменты, оставляя следы, которые могут привести к их аресту. Например, после расследования удалось выявить, что некоторые домены, которые использовались для рассылки спама, были зарегистрированы с использованием реальных имён и адресов. Это породило вопросы о том, насколько они серьезно относились к своей преступной деятельности. Стоимость этих мошеннических схем может достигать десятков тысяч долларов в месяц. Несмотря на небольшое количество рассылаемых спам-имейлов, уровень заражения составляет около 1%, что в совокупности может привести к значительному числу заражённых пользователей.
По состоянию на момент раскрытия правонарушения, уже насчитывалось более 500 заражённых компьютеров, и эта цифра, скорее всего, продолжит расти. Исследователи Cybernews вынесли несколько рекомендаций для пользователей, которые могли стать жертвами SpiderX. Если вы установили это расширение, первым делом рекомендуется удалить его и проверить другие устройства, которые могут быть связаны с вашим аккаунтом Google. Необходимо незамедлительно завершить все активные сеансы на важных аккаунтах и поменять пароли, начиная с самых важных, таких как счета в криптобиржах или финансовых учреждениях. Также следует помнить о важности резервного копирования личных и ценных данных.
Если устройство было скомпрометировано, эксперты рекомендуют полностью очистить его и переустановить операционную систему. Это наиболее эффективный способ гарантировать, что никакое вредоносное ПО не продолжит действовать. На данной стадии расследования многие остаются под впечатлением от того, насколько просто злоумышленники смогли создать и распространить такое расширение. Несмотря на очевидные признаки злонамеренности, злоумышленники всё же смогли достичь своих целей и обмануть большое количество людей. Киберпреступность — это реальная угроза, с которой необходимо бороться на всех уровнях: от пользователей до крупных технологических компаний, которые должны обеспечивать защиту и проверять свои продукты.
К сожалению, несмотря на множество текущих инициатив по защите пользователей, киберпреступники продолжают эволюционировать, разрабатывая новые методы для доступа к личным данным и средствам своих жертв. И только совместными усилиями мы сможем остановить их во все более сложном и обширном киберпространстве.
