Компания ESET предупреждает о распространении инструмента для удаленного доступа (RAT) под видом обновления официального приложения SafeMoon. С помощью вредоносной программы злоумышленники получают контроль над устройствами пользователей и могут похищать их пароли и деньги.

С момента своего создания SafeMoon стал достаточно популярным, что вызвано продвижением инфлюенсерамы в социальных сетях. Не остались в стороне и киберпреступники, которые начали нацеливаться на пользователей криптовалюты.

В частности, мошенники присылают пользователям Discord сообщение от имени официального аккаунта SafeMoon, в котором сообщают якобы о новой версии приложения.

После перехода по ссылке в письме жертва попадает на ресурс, подобный официальному сайту SafeMoon. Домен, о котором впервые сообщил пользователь Reddit в августе 2021 года, также похож на легитимный, однако содержит дополнительную букву в конце. Таким образом злоумышленники пытались остаться незамеченными для большинства пользователей, которые спешат получить необходимое «обновление».

Все внешние ссылки на сайте являются легитимными, за исключением адреса для загрузки якобы официального приложения SafeMoon из магазина Google Play. Вместо SafeMoon для устройств Android загружается компонент с распространенным стандартным программным обеспечением Windows, которое можно использовать как в легитимных, так и в злонамеренных целях.

После выполнения инсталлятор загружает несколько файлов в систему, включая инструмент RAT под названием Remcos. Несмотря на то, что этот RAT позиционируется как легитимный инструмент, он также продается на подпольных форумах.

Стоит отметить, что Remcos был задействован во вредоносных кампаниях различных групп киберпреступников. В частности, только несколько месяцев назад исследователи ESET обнаружили его использование во время операции Spalax, целями которой были колумбийские организации.

Remcos позволяет злоумышленникам собирать конфиденциальные данные жертвы. Он может похищать учетные данные из разных браузеров, считывать нажатия клавиш, получать контроль над вебкамерой и звуком с микрофона жертвы. Также у инструмента есть возможность загружать и разворачивать дополнительные вредоносные программы на устройстве. Управление этим инструментом осуществляется через командный сервер (C&C), IP-адрес которого добавляется к загруженным файлам.

Как защититься от мошенников ― советы экспертов

1.       Остерегайтесь любых неизвестных сообщений на электронную почту, в социальных сетях и других каналах.

2.       Не нажимайте на ссылки в подозрительных сообщениях, особенно от непроверенного источника.

3.       Обращайте внимание на неточности в URL-адресах, а лучше вводите их самостоятельно.

4.       Создавайте надежные и уникальные пароли.

5.       Используйте двухфакторную аутентификацию (2FA) и комплексное решение по безопасности.