Инженер по кибербезопасности, использующий в соцсети Х псевдоним NFT_Dreww, предупредил подписчиков о новом изощренном криптомошенничестве с использованием социальной инженерии. Эксперт пояснил, что в основном злоумышленники нацелены на держателей и создателей невзаимозаменяемых токенов (NFT). Мошенники связываются с ними и спрашивают, интересно ли им получить лицензию на их интеллектуальную собственность, приглашая их в Twitter Spaces или предлагая им присоединиться к команде для какого-либо нового проекта.
Мошенники настаивают, чтобы потенциальная жертва подключилась к платформе Zoom для видеоконференции, и отправляют вредоносную ссылку. После перехода по ссылке, пользователь видит «зависшую» страницу с экраном загрузки. Затем пользователю предлагается загрузить и установить ZoomInstallerFull.exe, который на самом деле является вредоносным ПО.
После установки, пользователь перенаправляется обратно на официальную платформу Zoom, но к тому времени вредоносное ПО уже проникло на целевой компьютер, а мошенникам удается украсть пользовательские данные и криптоактивы. Эксперт по безопасности отметил, что при запуске вредоносного ПО, оно добавляется в список исключений Защитника Windows, чтобы антивирусная система не могла его заблокировать.
«Зараженная программа начинает извлекать всю вашу информацию, в то время как пользователя отвлекает страница загрузки. Мошенники меняют доменные имена, сейчас они задействовали как минимум пятый домен», — объяснил NFT_Dreww.
Напомним, что в начале года злоумышленники украли криптоактивы на $600 000, воспользовавшись уязвимостью в платформе цифрового маркетинга MailerLite. В июле веб-сайт протокола DeFi Compound Finance тоже подвергся фишинговой атаке — мошенники перенаправляли пользователей на поддельную платформу, чтобы украсть у них криптовалюты.