Обновлено 30.05.2019. Добавлена информация об аналогичном мошенничестве на YouTube.

Исследователь под псевдонимом Frost обнаружил новую аферу, обещающую пользователям $15–45 в биткойнах после установки специального софта. На самом деле программа лишь устанавливает на компьютер вымогательское ПО или троян для кражи паролей.

Frost сообщил о новой мошеннической схеме в твиттере.

Особенность этой аферы заключается в способе привлечения жертв: в качестве первичной «приманки» посетителю предлагается пригласить на сайт как можно больше людей и получить за это вознаграждение в Ethereum. Согласно условиям, за каждые 100 человек, совершивших переход по уникальной реферальной ссылке, сервис будет выплачивать 0,3 ETH. Всего можно заработать 3 ETH, или приблизительно $750 на момент публикации. Вывод средств становится доступен после достижения баланса в 0,3 ETH.

Однако бесплатная раздача ETH — лишь средство для привлечения как можно большего числа посетителей. Полезная нагрузка сайта спрятана в синих объявлениях. Одно из них, обещающее $15–45 в биткойнах каждый день «бесплатно и автоматически», представлено на картинке ниже. Это объявление предлагает жертве загрузить архив с программой Bitcoin Collector. Другое предлагает выиграть $100, скачав ту же программу.

bitcoin-scam-malware

Интерфейс мошеннического сайта

Усыпляя бдительность пользователя, злоумышленники дают ссылку на страницу VirusTotal, которая якобы подтверждает безопасность содержимого ZIP-файла. После того как жертва распакует архив, он создаст исполняемый файл BotCollector.exe. Этот файл, в свою очередь, запускает программу Freebitco.in-Bot, которая маскируется под генератор биткойнов, но на самом деле является вредоносной.

В зависимости от типа атаки компьютер пользователя заражается либо вымогателем, либо трояном для кражи паролей.

Когда Frost впервые обнаружил эту мошенническую схему, вредоносная полезная нагрузка представляла собой вымогатель HiddenTear под названием Marozka Tear Ransomware.

bitcoin-scam-Marozka-page

Страница с инструкциями для жертв Marozka Tear (источник: Bleeping Computer)

Полнофункциональный код HiddenTear был выложен на Github почти четыре года назад. В 2017 году совместными усилиями международного альянса, в который входит и  «Лаборатория Касперского», база No More Ransom была пополнена 14 дешифраторами, среди которых был и дешифратор для HiddenTear. Он находится в свободном доступе — таким образом, эта версия вредоносного ПО не представляет большой опасности для пользователей.

Как сообщает Bleeping Computer, в настоящее время мошенники, используя тот же вектор атаки, заражают компьютеры жертв троянами, крадущими личную информацию. По словам Frost, речь идет о вредоносном ПО под названием Baldr. Зловред с января продается в даркнете и позиционируется как средство быстрого и эффективного сбора информации.

Вредоносная программа довольно опасна, так как она имеет возможность похитить данные авторизации на разных сайтах, историю браузера и т. д. Baldr также способен красть информацию о криптовалютных кошельках и делать скриншоты.

Update. Мошенники также активно продвигают фальшивый генератор биткойнов на YouTube, выкладывая рекламные ролики от имени подставных пользователей. Frost пытается пресечь вредоносную кампанию, подавая жалобы на злоупотребления. Указанные им аккаунты закрывают, выложенный контент удаляют, но злоумышленники быстро создают новых пользователей и опять публикуют свою рекламу.

В описании видео присутствует ссылка на страницу загрузки предлагаемого инструмента, который на самом деле является трояном, ворующим информацию. В случае с YouTube это не Baldr, а похожий на него Qulab, который отличает способность подменять данные (адреса криптокошельков) в буфере обмена.

Категории: Вредоносные программы, Мошенничество