Похитители сид-фраз начали маскироваться под торренты

[News Bot]

 

Троян Efimer распространяется через торрент-файлы и пытается красть криптовалюту с кошельков пользователей, сообщили представители российской компании «Лаборатория Касперского».

Злоумышленники находят плохо защищенные сайты на движке WordPress и размещают там сообщения с предложением скачать недавно вышедшие фильмы — в ссылке на скачивание торрента вредоносный файл маскируется под медиапроигрыватель xmpeg_player.exe, рассказали специалисты по безопасности.

 

При атаке на компании мошенники используют фишинговые письма с претензиями о нарушении авторских прав. Вредоносный файл Efimer находится в архиве с деталями претензий, рассказали представители «Лаборатории Касперского».

 

После запуска троян проникает в компьютер, ищет строки, напоминающие сид-фразы, и подменяет адреса для переводов криптовалют на адреса, ведущие к кошелькам мошенников. С атаками трояна столкнулись пользователи из России, Индии, Испании, Италии и Германии, а число пострадавших продолжает расти, сообщили специалисты.

 

 

Подробнее: https://bits.media/moshenniki-nachali-maskirovat-programmy-kriptograbiteli-pod-torrenty/

[zlg]

1 hour ago, News Bot said:

вредоносный файл маскируется под медиапроигрыватель xmpeg_player.exe

Да закопайте уже наконец эту стюардессВинду. Крипта в Windows, это оксюморон.

Edited 17 Aug 2025, 12:33 by zlg

[rezervist]

2 часа назад, zlg сказал:

 Крипта в Windows,

Те у кого крипта сомнительно что пользуется виндой , а в окошечников не больше 0.000001 и потерять особо  не смертельно .

[Mask]

2 часа назад, News Bot сказал:

После запуска троян проникает в компьютер, ищет строки, напоминающие сид-фразы, и подменяет адреса для переводов криптовалют на адреса, ведущие к кошелькам мошенников.

Допустим, нашёл он сид-фразу, как он в ней подменит адрес на мошеннический? Или где он подменяет эти адреса? Сид-фразу находят, что бы с адресов этой фразы, перевести крипту. Если адреса мошенников меняют в контактах, то для этого не нужно у жертвы искать сид-фразу. К тому же, сид-фраза просто так не лежит на устройстве. Она находится в защищённом хранилище. Паролем он конкретного кошелька, шифруется вход в это хранилище. И как после этого найти эту сид-фразу?

Допустим, троян ищет блокнотовские файлы, в которых жертва хранит свою сид. Допустим, есть такой файл, куда они подменяют адрес мошенника?

2 часа назад, News Bot сказал:

Злоумышленники находят плохо защищенные сайты на движке WordPress и размещают там сообщения

Дыры ищут не только в плохо защищённых движках WordPress. И размещают там скорее всего в виде ссылки, которая ведёт на рекламу. У меня вся реклама блокируется и даже если я посещаю такие сайты, то я не вижу такую рекламу.

Давайте ещё немного логически подумаем, это точно не торрен-трекер делают на WordPress, на нём только блоги и магазины могут делать в основном. Посещаем мы какой-то блог, допустим по кулинарии, а там реклама: "Скачай последнюю часть Аватара, которая ещё не вышла на экраны". Для нормального пользователя это не нормально, когда на кулинарном сайте такое предлагают. Это равносильно, что там же рекламировать какой-то хайп, с быстрым заработком.

В итоге, типичная картина потенциальной жертвы может быть следующая:

1. Пользуется браузером хром.

2. Не использует блокировщик рекламы.

3. Любит клацать на сайтах одной тематики, на рекламу совсем отличающуюся от контента.

4. Хранит крипту.

5. Сид-фразу хранит в блокнотовском файле.

6. У файлов на устройстве скрыто отображение расширений файлов.

 

Ещё что интересно, как троян проникает на устройство жертвы.

В блоге на WordPress предлагают скачать торрент, хотя по ссылке не торрент, а фейковый файл, маскирующийся под xmpeg_player.exe. Если скачиваем файл с расширением .torrent, то он либо скачивается в папку, в которую помещаются скачанные фалы, либо затем автоматически подхватывается торрент-качалкой. Но поскольку у нас не файл с расширением .torrent, то он точно не откроется автоматически торрент-качалкой.

Если у пользователя включено отображение расширений для файлов, то не важно как этот файл будет называться, расширение у него будет .exe, а это уже не торрент-файл и его не нужно запускать, нужно сразу удалить.

Если у пользователя не включено отображение расширений для файлов, то такой файл например может визуально выглядеть как avatar.torrent (хотя если было включено отображение расширений, то было бы avatar.torrent.exe). Понятное дело, что если такой файл запустить, то он запустит троян.

Допустим, троян запустился, он начинает поиск на наличие текстовых файлов на дисках жертвы, в которых может быть сочетание символов, похожих на сид-фразы. Как дальше он что-то меняет не понятно.

 

На другом сайте, где новость была ещё раньше сообщается, что скачивается не сам фейковый xmpeg_player.exe, а действительно торрент-файл. А вот когда его запускают, то скачивается в папку не видео файл, а фейковый проигрыватель. Но если у пользователя включено отображение расширений для файлов, то там будет ясно видно, что это допустим не avatar.avi, а avatar.avi.exe. К тому же, этот проигрыватель весит максимум до 10 Мб, при том, что современные фильмы не менее 300 Мб, если подготовлен для просмотра на телефоне. Как бы тут так же нужно включать мозги, что что-то не то.

 

Конкретно сообщается, что скачивается файл с расширением .xmpeg. Таких расширений не существует и мошенники предлагают открыть его через специальный проигрыватель который скачался и лежит рядом.

Я не запускаю медиа файлы не известного формата, максимум могу в блокноте или hex-редакторе посмотреть его содержимое, может там просто avi, но с не известным расширением или просто какой-то мусор в архиве переименованный.

В общем, что бы на это попастись, нужно постараться.

 

Так же пишут, что данный троян могут распространять через через письма от юристов. Может в какой-то европейской стране, где торренты с фильмами запрещены, там такое и может придти. Но на постсоветском пространстве это разве кого-то волнует? Ну да, юрист от MGM или Disney, лично мне написал на почту, которая не связана с моими личными данными. У меня они все почему то такие письма в спам попадают, на равне с теми, кто рассказывает в письмах, что подсматривал за мной и что-о там записал через веб-камеру, которой у меня никогда не было.

 

Что происходит дальше. Троян шарит в буфере обмена и ищет там сид фразу. Сид фраза в буфере обмена постоянно не хранится. Это может быть только тогда, когда пользователь скопировал её допустим из текстового файла и переносит в кошелёк. Далее, он эту фразу отправляет на сервер мошенников.

У меня для этого случая установлен простой брандмауэр Simplewall и ни одна гадость без моего веления, ничего никуда не отправит.

 

Так же сообщается, что если вместо сид, в буфере обмена находят адрес, то его автоматом меняют на адрес мошенника. Скорее всего это если Петя должен перевести Васи крипту и его адрес он копирует из текстового файла, то троян подменяет такой адрес на адрес мошенника. Для этого лучше постоянные адреса, на которые переводятся монеты, хранить в контактах, которые имеются во всех кошельках.

Неизвестно только, как на лету, троян подменяет адрес мошенника, который максимально похожий на адрес Васи? Для этого нужно время, что бы что-то подобное сгенерировать и это время так же зависит от мощности устройства жертвы. Если конечно Петя не отправляет только одному Васи на один адрес, время от времени.

 

В той статья, что я прочитал, троян не только крадёт крипту, но и может подбирать пароли к сайтам WordPress и собирать с них базу почтовых ящиков будущих жертв.

Возможно, если на WordPress будет блог про аирдропы, то база таких адресов будет более удачная, чем база с сайта кулинарии.

 

В любом случае, троян запустится, если жертва сама запустит этот файл.

 

Что нужно?

 

1. Выкинуть браузер Хром и вместо него поставить другой, если на базе хромиума,то есть Опера, Браве.

2. Поставить блокировщик рекламы UBlock Origin.

3. разрешить в системе отображение расширений для файлов.

4. Установить брандмауэр Simplewall , при выходе в сеть неизвестным приложением, он будет спрашивать что делать, блокировать или разрешить.

5. Иметь понятия по расширения медиа файлов. Если не известный формат, то никогда не пробовать его открывать, как будут советовать в инструкции.

6. В крайнем случае, поискать про этот формат в гугле и поверить через онлайн-сканер virustotal.

2 часа назад, zlg сказал:

Крипта в Windows

Что мешает поставить на виртуальную машину ещё одну винду и в ней установить кошелёк. И больше эту винду не для чего не использовать? Не читать всякие блоки, не проверять почтовые ящики.

У биржи Xeggex так и увели ключи, поскольку и ключи, и трёп в интернете вёл с одного ноута.

[Helber]

13 минут назад, Mask сказал:

Допустим, нашёл он сид-фразу, как он в ней подменит адрес на мошеннический?

Это две раздельные операции. Сможет стырить сид, дело решено. Не сможет, так хоть адреса в буфере поменяет

[Mask]

9 минут назад, Helber сказал:

Сможет стырить сид, дело решено.

Если в тот момент, когда троян уже запущен, юзер захочет вставить его в кошелёк.

Если нет брандмауэра, который не даст выйти в интернет.

9 минут назад, Helber сказал:

Не сможет, так хоть адреса в буфере поменяет

Если поменяет на абыкакой, то я всегда смотрю какой копировал и какой вставлен.

Если поменяет на похожий, то нужно время, для его генерирования. Это уже нужно задействовать мощности.

 

[zlg]

29 minutes ago, Mask said:

Что мешает поставить на виртуальную машину ещё одну винду и в ней установить кошелёк

Мешает здравый смысл. Но если человек долбоеб и ССЗБ(сам себе злобный буратино) то пусть пользуется Виндой в крипте. Но только потом пусть не плачется по форумам. 

[Mask]

На сайте Касперского есть описанные нюансы, что бы троян начал работать.

Цитата

Один из его скриптов добавляет себя в список исключений Защитника Windows (при условии, что у пользователя есть права администратора). Затем вредоносная программа устанавливает клиент Tor для связи со своим сервером управления.

Если учётная запись без прав администратора, то это не удастся? И Защитник Windows у меня отключен, вместо него Simplewall, путь попробует отправить в интернет какой-либо запрос.

 

Цитата

Троян сохраняет эту фразу и отправляет её на сервер злоумышленников. Если в буфере обмена также обнаруживается адрес криптокошелька, Efimer незаметно подменяет его поддельным. Чтобы избежать подозрений, поддельный адрес часто очень похож на оригинальный. В результате криптовалюта незаметно переводится киберпреступникам.

На сервер злоумышленника через Simplewall или другой брандмауэр, не знаю как он сделает. Не понятно, как адрес подставляется очень похожим. Для этого нужно время, что бы подобрать.

 

Цитата

Кошельки с Bitcoin, Ethereum, Monero, Tron или Solana подвержены наибольшему риску, но владельцам других криптовалют не стоит терять бдительности.

 

Больше информации здесь, куда и ссылается сам Касперский.
 

Цитата

 

Efimer расширяет свои возможности с помощью дополнительных скриптов. Эти скрипты позволяют злоумышленникам подбирать пароли к сайтам WordPress и собирать адреса электронной почты для будущих вредоносных email-рассылок.

 

Продукты «Лаборатории Касперского» классифицируют эту угрозу следующими вердиктами обнаружения: HEUR:Trojan-Dropper.Script.Efimer HEUR:Trojan-Banker.Script.Efimer HEUR:Trojan.Script.Efimer HEUR:Trojan-Spy.Script.Efimer.gen

 

В письмах, полученных пользователями, утверждалось, что юристы крупной компании проверили домен получателя и обнаружили в его названии слова или фразы, нарушающие права на зарегистрированные товарные знаки. В письмах содержались угрозы судебного преследования, но предлагалось отозвать иск, если владелец домена изменит имя. Более того, они даже выражали готовность выкупить домен. Конкретный домен в письме не упоминался. Вместо этого во вложении якобы содержалась «подробная информация» о предполагаемом нарушении и предлагаемой сумме выкупа.

 

Жертвы получили электронное письмо с ZIP-вложением под названием «Demand_984175» (MD5: e337c507a4866169a7394d718bc19df9). Внутри получатели обнаружили вложенный архив, защищённый паролем, и пустой файл с именем «PASSWORD – 47692». Стоит отметить хитроумную обфускацию файла с паролями: вместо стандартной заглавной буквы «S» злоумышленники использовали символ Unicode U+1D5E6. Это незаметное изменение, вероятно, было сделано для того, чтобы помешать автоматизированным инструментам легко извлечь пароль из имени файла.

 

Если пользователь распакует защищённый паролем архив, он обнаружит вредоносный файл «Requirement.wsf». Запуск этого файла заразит компьютер трояном Efimer, и пользователь, скорее всего, увидит сообщение об ошибке.

 

При первом запуске скрипт Requirement.wsf проверяет наличие прав администратора. Для этого он пытается создать и записать данные во временный файл по адресу C:\\Windows\\System32\\wsf_admin_test.tmp. Если запись прошла успешно, файл удаляется. Дальнейшие действия зависят от уровня доступа пользователя:

Если скрипт выполняется от имени привилегированного пользователя, он добавляет папку C:\\Users\\Public\\controller в исключения антивируса Windows Defender. Эта папка затем будет использоваться для хранения различных файлов. Он также добавляет в исключения полный путь к текущему запущенному скрипту WSF, а системные процессы C:\\Windows\\System32\\exe и C:\\Windows\\System32\\cmd.exe. После этого скрипт сохраняет два файла по указанному выше пути: «controller.js» (содержащий троян Efimer) и «controller.xml». Затем он создаёт задание планировщика в Windows, используя конфигурацию из controller.xml.

 

Если скрипт запускается с ограниченными правами пользователя, он сохраняет только файл controller.js по тому же пути. Он добавляет параметр для автоматического запуска контроллера в раздел реестра HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\controller. После этого контроллер запускается с помощью утилиты WScript.

 

Скрипт controller.js — это троян типа ClipBanker. Он предназначен для замены адресов криптовалютных кошельков, копируемых пользователем в буфер обмена, на адреса злоумышленника. Кроме того, он может запускать внешний код, полученный непосредственно с управляющего сервера.

Троян начинает работу с проверки того, запущен ли диспетчер задач с помощью WMI.

Если это так, скрипт немедленно завершает работу, чтобы избежать обнаружения. Однако, если диспетчер задач не запущен, скрипт устанавливает прокси-клиент Tor на компьютер жертвы. Этот клиент используется для связи с сервером управления (C2). В скрипте есть несколько жёстко прописанных URL-адресов для загрузки Tor. Это гарантирует, что даже если один URL-адрес заблокирован, вредоносная программа сможет загрузить программное обеспечение Tor с других. Проанализированный нами образец содержал следующие URL-адреса:

https://inpama[.]com/wp-content/plugins/XZorder/ntdlg.dat

https://www.eskisehirdenakliyat[.]com/wp-content/plugins/XZorder/ntdlg.dat

https://ivarchasv[.]com/wp-content/plugins/XZorder/ntdlg.dat

https://echat365[.]com/wp-content/plugins/XZorder/ntdlg.dat

https://navrangjewels[.]com/wp-content/plugins/XZorder/ntdlg.dat

 

 

В общем, если установлен сторонний брандмауэр, то это не пройдёт, а диспетчер устройств у меня всегда заупщен, что бы контроллировать процессы.

 

 

 

[Mask]

5 часов назад, News Bot сказал:

 

ИИ не знает как пишется Касперский)

[Helber]

4 часа назад, Mask сказал:

Если в тот момент, когда троян уже запущен, юзер захочет вставить его в кошелёк

Не факт, в новости не сказано про кражу сидки только из буфера, если он хранится в блокноте, могут стырить оттуда

 

4 часа назад, Mask сказал:

Если поменяет на абыкакой, то я всегда смотрю какой копировал и какой вставлен.

Так то ты)

[Mask]

1 час назад, Helber сказал:

в новости не сказано про кражу сидки только из буфера

В новости не сказано, поэтому и мысли с блокнотом могут лезть в голову. Но сказано, что это сказал Касперский, а на сайте Касперского сказано:

Цитата

Efimer обращается к буферу обмена и ищет начальную фразу — уникальную последовательность слов, которая позволяет получить доступ к криптокошельку. Троян сохраняет эту фразу и отправляет её на сервер злоумышленников. Если в буфере обмена также обнаруживается адрес криптокошелька, Efimer незаметно подменяет его поддельным. Чтобы избежать подозрений, поддельный адрес часто очень похож на оригинальный. В результате криптовалюта незаметно переводится киберпреступникам.

И там же:

Цитата

Более подробную информацию о возможностях Efimer вы можете найти в нашем анализе на Securelist.

Если перейти туда, то там:

Цитата

Скрипт controller.js — это троян типа ClipBanker. Он предназначен для подмены адресов криптовалютных кошельков, копируемых пользователем в буфер обмена, адресами злоумышленника. Кроме того, он может запускать внешний код, полученный непосредственно с управляющего сервера.

 

Что бы проверить заразился ли ваш ПК трояном, нужно проверить наличие указанных папок и файлов на вашем ПК, Проверить в планировщике запланированные задачи:

При заупске трояна, если скрипт выполняется от имени привилегированного пользователя, он добавляет папку C:\\Users\\Public\\controller в исключения антивируса Windows Defender.

Нужно проверить наличие этой папки и наличие исключения в Windows Defender.

Эта папка затем будет использоваться для хранения различных файлов. Он также добавляет в исключения полный путь к текущему запущенному скрипту WSF.

Скрипт сохраняет два файла по указанному выше пути: «controller.js» (содержащий троян Efimer) и «controller.xml».

Затем он создаёт задание планировщика в Windows, используя конфигурацию из controller.xml.

 

Если скрипт запускается с ограниченными правами пользователя, он сохраняет только файл controller.js по тому же пути. Он добавляет параметр для автоматического запуска контроллера в раздел реестра HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run\\controller. После этого контроллер запускается с помощью утилиты WScript.

 

Достаточно это проверить, если у вас такое уже есть, то скорее всего, нужно перевести крипту на другой кошелёк и желательно это делать с другого устройства. Если у вас нет этих папок, файлов и заданий, то переживать нечего. Не качайте торренты там, где они не должны быть.

 

 

Как происходит подмена адреса в буфере обмена:

Цитата

 

Сначала он сканирует буфер обмена на наличие строк, похожих на мнемонические (seed) фразы. Затем этот файл отправляется на сервер. После отправки SEED-файл удаляется. Затем скрипт делает пять снимков экрана (вероятно, для фиксации использования мнемонических фраз) и также отправляет их на сервер.
Затем он начинает заменять адреса криптовалютных кошельков. Если содержимое буфера обмена состоит только из цифр, заглавных и строчных английских букв, а также содержит хотя бы одну букву и одну цифру, скрипт выполняет дополнительные проверки, чтобы определить, принадлежит ли этот кошелёк Bitcoin, Ethereum или Monero. Если соответствующий кошелёк найден в буфере обмена, скрипт заменяет его по следующей схеме:
Короткие адреса Bitcoin-кошельков (начинающиеся с «1» или «3» и содержащие от 32 до 36 символов) заменяются адресом кошелька, первые два символа которого совпадают с исходным адресом.
Для длинных адресов кошельков, начинающихся с «bc1q» или «bc1p» и имеющих длину от 40 до 64 символов, вредоносная программа находит подмену, последний символ которой совпадает с исходным.

Если адрес кошелька начинается с «0x» и содержит от 40 до 44 символов, скрипт заменяет его одним из нескольких кошельков Ethereum, зашитых во вредоносную программу. Цель — убедиться, что первые три символа совпадают с исходным адресом.

Для адресов Monero, начинающихся с «4» или «8» и состоящих из 95 символов, злоумышленники используют один предопределенный адрес. Как и в случае с другими типами кошельков, скрипт проверяет совпадение символов между исходным и подмененным адресами. В случае Monero требуется совпадение только первого символа. Это означает, что вредоносная программа заменит только кошельки Monero, начинающиеся с «4».

 

Как видим, он меняет только первые или последние символы. Я например когда вставляю адрес, то как раз проверяю, что бы начало, конец (в пределах 4-5 символов) и центр был одинаковый.

[camelion77]

16 часов назад, rezervist сказал:

Те у кого крипта сомнительно что пользуется виндой , а в окошечников не больше 0.000001 и потерять особо  не смертельно .

Последние 9 лет жил за крипту, все на рынок. У меня винда. Больше штукаря на компе не хранил. Холодных от родясь не было за ненадобностью. Но ты знаешь, штукарь подарить кому то тоже неприятно. 

У новых инфлюенсеров вангую ваще нет компа, максимум смарт с планшетом и холодильник  для крипты.

[BSystem_sup]

Ох уж эти сказочники... ох уж эти АВ и пользователи с круглыми глазами при виде слова троян. Не надо читать дебилов из АВ, а читайте профильные форумы, там инфа по всем вашим "вирусам".
Судя по всему, был взят обычный клиппер и немного доработан. Его криптуют (полиморф) каждый раз, когда появляется детект АВ. Поэтому, достаточно сканировать каждый раз после обновления АВ свой комп и не парится, потому как БД АВ обновляется систематически. Ручная ловля ничего не дает, та как те же папки, они могут быть рендомные и записи в реестре тоже могут быть рендомные и поймать их без знаний ( а тут одни ламеры в этом), будет затруднительно.
Что такое клиппер? Это обычный подменьщик буфера обмена. Он постоянно контролирует буфер на предмет адреса по маске (он задается при создании билда клиппера) и если маска совпадает, заменяет на заранее заданный адрес (а не очень похожий, ох уж эти сказочник. Думаете злоумышленник сидит и ждет, чтобы посмотреть какой там адрес выскочит у жертвы, чтобы поменять на похожий? ) Тоже и по сид-фразе, контроль буфера на предмет 12 слов.
А чаще всего, прилетает троян и сканирует всю систему на предмет текстовиков с записями по маске. Сканирует на предмет  wallet.dat и расширений в браузере. Сливают все куки, пароли и папки с расширениями. А дальше дело техники. Весь слив крипты происходит за пределами компа жертвы. Если говорим не о RAT. Тут уже создается скрытая сессия на компе жерты и уже на месте, вручную все исследуется и сливается.

Что касаемо мобильных приблуд, то и для них есть свои трояны. Но я так понимаю, надо быть дебилом, чтобы поймать что то подобное, потому что без разрешения пользователя, ничего не установить и не запустить. НЕ КАЧАЙТЕ КРЯКИ И КРЯКНУТЫЕ ПРОГРАММЫ. НЕ КАЧАЙТЕ НИЧЕГО С НЕЗНАКОМЫХ САЙТОВ. Тогда вы на 90% будете защищены. А остальные 20% это ваша соображалка. Если ты тупой, то даже мощный АВ тебя не спасет.