Злоумышленники используют магазин плагинов популярного приложения для заметок, чтобы распространять вредоносное ПО. Сложную многоступенчатую схему социальной инженерии, нацеленную на пользователей криптовалют и финансового сектора, обнаружили исследователи из Elastic Security Labs.
Фишинг через легитимные платформы
Атака начинается с фишингового сообщения, которое маскируется под уведомление от известной криптовалютной биржи или финансовой платформы. Пользователя подталкивают к действию, например, к проверке подозрительной транзакции. Ссылка в сообщении ведёт не на официальный сайт, а на страницу в магазине плагинов приложения для заметок, которое исследователи не называют, но описывают как «популярное».
Там жертве предлагают установить вредоносный плагин, который якобы необходим для просмотра деталей «инцидента». Этот плагин содержит код, способный удалённо управлять устройством, красть файлы, пароли и данные кошельков. По данным аналитиков Elastic Security Labs, атака является «многоступенчатой» и «продуманной».
Этот случай напоминает недавнюю историю, когда фишинговое приложение Ledger в App Store украло $9,5 млн у доверчивых пользователей.
Установка сторонних плагинов из неофициальных источников в любых приложениях несёт высокие риски. Особенно опасно делать это по ссылкам из непроверенных сообщений.
Изощрённая социальная инженерия
Основная цель атаки — пользователи, активно работающие с криптовалютами и финансами, чьи устройства могут содержать доступ к биржам, кошелькам и приватным ключам. Метод манипуляции, заставляющий человека самостоятельно совершить опасное действие, используется особенно изощрённо.
Мошенники создают целую легенду, используя доверие к известному бренду и функционалу легитимного приложения. Это значительно повышает шансы на успех, так как пользователь меньше подозревает обман на привычной платформе.
Подобные атаки уже приводили к крупным потерям, как в случае с музыкантом, лишившимся $420 тыс. в биткоинах из-за поддельного Ledger.
Опасный тренд целевых атак
Эта схема вписывается в общий тренд роста сложности криптомошенничества. Если раньше угрозы часто были массовыми и относительно простыми, то сейчас злоумышленники всё чаще проводят целевые атаки, тщательно прорабатывая сценарии для конкретных групп жертв.
Использование легитимных платформ и их функций для распространения вредоносного кода — опасная тактика, которую сложнее обнаружить стандартными средствами защиты. Подобные инциденты заставляют пересматривать подходы к безопасности, делая акцент на проверке источников установки любого программного обеспечения, даже внутри доверенных приложений.