Специалисты по кибербезопасности выявили сложную APT-атаку, нацеленную на пользователей криптосервисов. Злоумышленники распространяли вредоносный ZIP-архив через Telegram под видом файла с транзакционным скриншотом. Внутри скрывался поддельный ярлык (LNK), при запуске которого отображалась фиктивная картинка — всё выглядело правдоподобно.
Но параллельно в систему внедрялся троян DcRat, запускавшийся в несколько этапов через компонент под названием White Plus Black. Через цепочку загрузок и обходов антивирусов он устанавливал связь с удалёнными C2-серверами, включая IP-адреса 103.45.68.150 и 38.46.13.170. В процессе использовались VBS-скрипты, PowerShell и поддельные сертификаты.
Атака была частью схемы, связанной с фейковыми сайтами для продажи криптовалюты. Её уровень исполнения — серьёзное предупреждение всему блокчейн-сообществу: даже простое «изображение» может нести в себе опасность.
по материалам
уникальность