Новый вирус перехватывает данные сотен криптокошельков — Gen Digital

[News Bot]

 

Эксперты работающей в области кибербезопасности компании Gen Digital сообщили о вредоносной программе Torg Grabber, способной похищать данные из 728 браузерных криптокошельков, включая Phantom, Trust Wallet и MetaMask.

По данным специалистов, заражение осуществляется с использованием техники ClickFix. Злоумышленники перехватывают буфер обмена и обманом побуждают пользователя выполнить вредоносную команду, запускающую вирус.

 

Torg Grabber также извлекает данные из других приложений, включая мессенджеры (например, Discord и Telegram), игровые платформы, VPN-клиенты и почтовые сервисы.

 

Как отмечают аналитики, операторы вредоносной программы используют защищенное соединение через инфраструктуру Cloudflare и адаптировали вирус для обхода защитных механизмов в браузерах Google Chrome, Brave, Microsoft Edge, Vivaldi и Opera. Программа ориентирована на кражу паролей, закрытых ключей, сид-фраз и данных сессий.

 

 

Подробнее: https://bits.media/novyy-virus-perekhvatyvaet-dannye-soten-brauzernykh-kriptokoshelkov-gen-digital/

[Mask]

10 часов назад, News Bot сказал:

в браузерах Google Chrome, Brave, Microsoft Edge, Vivaldi и Opera.

Это всё хромые, для одного сделал, страдают все, а Мозилла осталась в стороне)

10 часов назад, News Bot сказал:

заражение осуществляется с использованием техники ClickFix

Это когда жертва сама запускает вирус, для якобы исправления какой-то ошибки.

Как это описано на сайте Касперского:
 

Цитата

 

Техника ClickFix по сути представляет собой попытку выполнить вредоносную команду на компьютере жертвы, опираясь исключительно на методы социальной инженерии. Под тем или иным предлогом злоумышленники убеждают пользователя скопировать длинную командную строку (в подавляющем большинстве случаев — скрипт PowerShell), вставить ее в окно «Выполнить» системы и нажать Enter, что в конечном итоге должно привести к компрометации системы.

Обычно атака начинается со всплывающего окна, имитирующего уведомление о технической проблеме. Чтобы устранить эту проблему, пользователю необходимо выполнить несколько простых действий, которые сводятся к копированию какого-либо объекта и выполнению его через приложение «Выполнить». Однако в Windows 11 PowerShell можно запустить и из панели поиска приложений, настроек и документов, которая открывается при нажатии на значок с логотипом системы, поэтому иногда жертву просят туда что-то скопировать.

В результате выполнения скрипта на компьютер загружается и устанавливается вредоносное ПО, причем конкретная вредоносная нагрузка варьируется от кампании к кампании. Таким образом, мы получаем, что пользователь запускает вредоносный скрипт в своей системе, тем самым заражая свой собственный компьютер.

 

Типичные атаки с использованием техники ClickFix:

1. Для отображения некой страницы, необходимо обновить браузер. Обновление понятное дело фейковое.

2. Что бы просмотреть определённый документ на сайте, например Microsoft Word или PDF, просят установить плагин для просмотра.

3. Что бы просмотреть документ в письме, нужно следовать инструкции.

4. Через поддельные Google Meet или Zoom. Пользователь получает ссылку на видеозвонок, но «не имеет права присоединиться» к нему, поскольку у него проблемы с микрофоном и камерой. В сообщении «объясняется», как это исправить.

5. Посетителю сайта предлагается пройти фальшивую капчу, чтобы доказать, что он не робот. Но требуемым доказательством является следование инструкциям, написанным во всплывающем окне.

 

Само вредоносное решение не запустится на вашем устройстве автоматом. Для запуска нужно обязательно выполнить инструкцию. И это только для Windows.

 

Простой файрволл, который блокирует неизвестную активность в интернет, спасает от разных проблем, не только от вирусов, но и от всяких "проверяльщиков" обновлений и логеров, из официальных программ.

[kachinski]

Шлюхоботы в криптопабликах в ТГ для того и существуют, чтобы байтить доверчивых Степашек на разговор, вызнавать сколько у него крипты и насколько он лох, потом дают команду под любым предлогом, чтобы он её исполнил где-то в терминале и усё. Схема старая и работает уже не первый год 🤦‍♀️

Edited 29 Mar 2026, 05:20 by kachinski