Image Image Image Image Image Image Image Image Image Image
Lapozzon a lap tetejére

Lap tetejére

Eladó, bár nem létezik: zsarolóvírus, adathalászat, kriptocsalás

Eladó, bár nem létezik: zsarolóvírus, adathalászat, kriptocsalás
(Tudósítónktól)

Egy zsarolóvírus elemzése közben a német G Data biztonsági szakemberei felfedeztek egy bűnszervezetet, amely a zsarolás mellett a webes csalások, támadások széles körével foglalkozik: például engedély nélküli kriptobányászattal, adathalász oldalak működtetésével és kriptovaluta-csalással.
 

A G Data biztonsági szakemberei a GrandCrab zsarolóvírus legújabb változatát elemezték, miközben felfedezték, hogy az IP-cím mögött állók egy sor illegális online tevékenységgel igyekeznek extra bevételhez jutni. A szakemberek szerint a GranCrab 5-ös verzióját nagy valószínűséggel nem a fejlesztője üzemelteti, hanem bérli vagy megvásárolta valaki. A zsarolóvírus mögötti alkalmazás az elemzés időszakában a 92.63.197.48-as IP-címmel kommunikált, vagyis ide érkeztek be a megfertőzött gépekről az adatok, illetve innen mentek ki az újabb utasítások.

Az IP-címhez tartozó oldalak a Fop Horban Vitalii Anatoliyovic névhez tartoznak – valószínűleg hamis adatokkal állunk szemben. A mélyebb vizsgálat feltárta, hogy a zsarolóvírus-üzlet csak az egyik oszlopa a vállalkozásnak. Ugyanezen az IP-címen ugyanis számtalan inaktív társkereső oldal található, és a hamis ajánlatokat kínáló Frim0ney.info is ide tartozik. Az adathalászat is a tevékenységek közé tartozik: a wex.nz Bitcoin tőzsde klónját wex.ac néven működtetik. Egy fórumozó a Bitcointalk weboldalon jelezte, hogy a csaló oldalon egy sor személyes adatát próbálták elkérni azzal a kifogással, hogy az oldal költözik és az új helyen szükség van az adatokra.

Az IP-címről egy olyan (.ison) fájlt is megszereztek a szakemberek, mely arra utal, hogy a tulajdonos kriptobányászatot folytat mások engedélye nélkül, mások számítógépét használva. Az még nem tiszta, hogy maga a GrandCrab zsarolóvírus telepítője kriptovaluta-bányász alkalmazást is telepít-e a megfertőzött gépre vagy sem. A kriptobányász-alkalmazások megfertőzött weboldalakon keresztül is használhatják mások gépeit kriptovaluta generálására. A fájl kereken 4000 fertőzött rendszert mutat.

Az IP-címek további vizsgálata szerint az üzemeltetők kriptovaluta-csalással is foglalkoznak. Mivel tavaly a kriptovaluták körül igen nagy médiafelhajtás volt, a csalók ezt a területet is érdemesnek találták lefedni. A csalás lényege: elhitetik az emberekkel, hogy ha 0,5 és 20 ethereum közötti valutát küldenek egy adott címre, akkor cserébe 5-200 ethereumot kapnak vissza. És igen, van, aki ezt elhiszi.

A bűnözők hagyományos csalásokkal is foglalkoznak: például hivatkozások generálásával emelnek ki egy adott terméket kínáló oldalt a Google keresőben. A vizsgált oldalakra legtöbb esetben a forgalom emailből érkezik, ami arra enged következtetni, hogy kéretlen levelek segítségével növelik az oldalak látogatottságát, és adják el a nem létező termékeket.

Ez az eset is jelzi, hogy a mai kiberbűnözők nem csupán egy kártevőre vagy csalásra szakosodnak, hanem széles kínálatot építenek a különböző támadási módszerekből.