Злоумышленники создают поддельные сайты с применением ИИ и добавляют в них вредоносные сборки легитимного ПО

Используя такие сборки, атакующие пытаются получить доступ к криптовалютным счетам пользователей в разных странах.

"Лаборатория Касперского" обнаружила новую вредоносную кампанию. Злоумышленники генерируют с применением ИИ поддельные сайты, чтобы распространять через них троянизированные сборки легитимного инструмента удалённого доступа Syncro.

Если человек скачает такое ПО, атакующие получат полный доступ к его зараженному устройству. Цель злоумышленников - кража ключей от криптокошельков. По данным компании, атакам подвергаются пользователи в Латинской Америке, Азиатско-Тихоокеанском регионе, Европе и Африке. 

Как и какие сайты генерируют злоумышленники. Для создания вредоносных страниц атакующие используют ИИ-сервис. Поддельные сайты весьма убедительно имитируют популярные лендинги криптокошельков, защитных решений и менеджеров паролей, хоть и не копируют сайты полностью.

Как потенциальные жертвы попадают на поддельные сайты. Пользователь может столкнуться с вредоносными страницами в поисковой выдаче или фишинговых письмах. Если жертва перейдет на поддельную страницу, которая имитирует сайт компании - разработчика защитных решений или менеджера паролей, она увидит предупреждение о некой проблеме безопасности.

Далее человеку будет предложено скачать ПО, которое якобы позволит эту проблему решить. Это известная тактика: атакующие побуждают жертву скачать вредоносное приложение под видом защиты от несуществующей угрозы.

Что происходит дальше. Если пользователь считает сайт доверенным, скачивает и запускает предлагаемое ПО, он получает на устройство вредоносную сборку Syncro. Легитимный инструмент используют специалисты техподдержки ИТ-отделов в разных компаниях. В данном же случае злоумышленники поучают полный доступ к скомпрометированному устройству жертвы: могут видеть экран, просматривать файлы и выполнять команды.

Решения "Лаборатории Касперского" детектируют вредоносные сборки Syncro как HEUR:Backdoor.OLE2.RA-Based.gen.

"Эта кампания наглядно демонстрирует, как меняется ландшафт киберугроз. Поставив с помощью ИИ генерацию убедительных поддельных сайтов на поток, злоумышленники могут эффективно масштабировать атаки. Однако в своих схемах мошенники, как правило, продолжают делать ставку на доверие пользователей к знакомым брендам и их готовность среагировать на срочное предупреждение.

Очень важно помнить, что во время скачивания любого программного обеспечения, даже из, казалось бы, надежных источников, пользователям необходимо сохранять бдительность", - комментирует Владимир Гурский, эксперт по кибербезопасности в "Лаборатории Касперского".

Для защиты от подобных киберугроз "Лаборатория Касперского" рекомендует:

• не загружать программы из сомнительных источников;
• всегда перепроверять адреса тех страниц, на которых вы находитесь, перед тем как совершить то или иное потенциально опасное действие - будь то загрузка приложения или ввод личных данных;
• использовать надежное защитное решение от вендора, эффективность технологий которого подтверждается независимыми тестами: оно вовремя распознает угрозу и не позволит установить вредоносную программу на устройство, перейти на фишинговый или скам-ресурс;
• внимательно следить за любыми уведомлениями защитного решения: стоит относиться к ним серьезно и как минимум проверить, с каким приложением они связаны.