Перейти к содержанию
Объявляем набор участников в программу «Развитие сообществ клуба в мессенджерах»
Конкурс по разработке Telegram-бота Kaspersky Club

Trojan.Arcanum — новый троян, нацеленный на знатоков карт Таро, эзотерики и магии | Блог Касперского

KL FC Bot
 Поделиться

Рекомендуемые сообщения

KL FC Bot Гигант мысли

KL FC Bot

Опубликовано
Опубликовано

Представьте, каким был бы мир, если бы с помощью карт Таро можно было точно предсказать абсолютно любые события! Быть может, тогда бы мы пресекли «Операцию Триангуляция» в зародыше, а уязвимостей нулевого дня не возникало бы в принципе — разработчики ПО знали бы о них заранее благодаря предупреждающим раскладам.

Звучит невероятно, но нечто подобное нашим экспертам удалось организовать в этот раз! Читайте этот материал, чтобы узнать, что за новый троян мы обнаружили и как именно это сделали.

Что за троян

Новый троян Trojan.Arcanum распространяется через сайты, посвященные гаданиям и эзотерике, маскируясь под «магическое» приложение для предсказания будущего. На первый взгляд — это безобидная программа, предлагающая пользователю разложить виртуальные карты Таро, рассчитать астрологическую совместимость или даже «зарядить амулет энергией Вселенной», что бы это ни значило. Но на самом деле за кулисами творится нечто по-настоящему мистическое — в худшем смысле этого слова. После внедрения на устройство пользователя Trojan.Arcanum обращается к облачному C2-серверу и устанавливает полезную нагрузку — стилер Autolycus.Hermes, майнер Karma.Miner и шифровальщик Lysander.Scytale.

Собрав данные пользователя (логины, пароли, дату, время и место рождения, банковскую информацию и так далее), стилер также отправляет их в облако, а дальше начинается самое интересное: троян принимается манипулировать своей жертвой в реальной жизни с использованием методов социальной инженерии!

С помощью всплывающих уведомлений Trojan.Arcanum отправляет пользователю псевдоэзотерические советы, побуждая его совершать те или иные действия. Так, получив доступ к банковским приложениям жертвы и обнаружив на счету крупную сумму, злоумышленники отправляют команду, и зловред выдает совет с раскладом о благоприятности крупных инвестиций — после чего жертве может прийти фишинговое письмо с предложением поучаствовать в «перспективном стартапе». А может и не прийти — смотря как лягут карты.

Одновременно с этим встроенный майнер Karma.Miner начинает майнить токены KARMA, а троян активирует платную подписку на сомнительные «эзотерические практики» с ежемесячным списанием средств. Если майнинг кармы обнаруживается и завершается пользователем, шифровальщик перемешивает сегменты пользовательских файлов в случайном порядке без возможности восстановления.

 

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • KL FC Bot
      Кража денег с банковских карт через NFC: как защититься | Блог Касперского
      Автор KL FC Bot
      Безопасность банковских карт непрерывно улучшается, но злоумышленники находят все новые способы воровать с них деньги. Когда-то, выманив у жертвы информацию о карте на поддельном сайте магазина или в другой мошеннической схеме, преступники изготавливали физическую карту-двойник, записывая украденные данные на магнитную полосу. С такой картой можно было идти в магазин или даже в банкомат. Появление карт с чипом и одноразовых SMS-кодов сильно усложнило жизнь мошенников, но они адаптировались. Переход к мобильным платежам при помощи смартфонов повысил устойчивость к мошенничеству — но и открыл новые пути для него. Теперь мошенники пытаются привязать карты, номера которых им удалось выманить, к своему аккаунту Apple Pay или Google Wallet. Затем смартфон с этим аккаунтом используется, чтобы оплачивать товары с чужой карты — в обычном магазине или в фальшивой торговой точке с платежным терминалом, поддерживающим NFC.
      Как выманивают данные
      Череде кибератак предшествует серьезная подготовка, проводимая в промышленном масштабе. Злоумышленники создают сеть фальшивых сайтов по выманиванию платежных данных. Сайты могут имитировать службы доставки, крупные онлайн-магазины и даже сайты по оплате коммунальных услуг или дорожных штрафов. Одновременно преступники закупают десятки физических телефонов, создают на них учетные записи Apple или Google и устанавливают приложение для бесконтактных платежей.
      Дальше — самое интересное. Когда жертва попадает на сайт-приманку, ей предлагают привязать карту или совершить необходимый небольшой платеж. Для этого нужно указать данные банковской карты, а затем подтвердить свое владение этой картой, введя SMS-код. В этот момент с карты не происходит никаких списаний.
      Что происходит на самом деле? Почти мгновенно данные жертвы передаются преступникам, которые пытаются привязать карту к мобильному кошельку на смартфоне. SMS-код нужен, чтобы подтвердить эту операцию. Для ускорения и упрощения манипуляций злоумышленники используют специальный софт, который по введенным жертвой данным создает изображение карты, полностью повторяющее реальные карточки нужного банка. Теперь эту картинку достаточно сфотографировать из Apple Pay или Google Wallet. Процесс привязки карточки к мобильному кошельку зависит от конкретной страны и банка, но обычно для этого не требуется никаких данных, кроме номера, срока действия, имени владельца, CVV/CVC и SMS-кода. Все это можно выманить в рамках одной фишинговой сессии и сразу использовать.
       
      View the full article
    • KL FC Bot
      Фишинг через GetShared | Блог Касперского
      Автор KL FC Bot
      Недавно нашему бывшему коллеге пришла подозрительная нотификация от неизвестного ему сервиса GetGhared. Будучи человеком осторожным, он не стал переходить по ссылке, а сразу переслал уведомление нам. Проанализировав письмо, мы выяснили, что это действительно работа мошенников, а судя по статистике наших почтовых защитных решений, сервис для отправки больших файлов GetShared стал использоваться ими достаточно часто. Рассказываем, как выглядит применение GetShared в атаках, зачем злоумышленникам это нужно и как оставаться в безопасности.
      Как выглядит атака при помощи GetShared
      Жертве приходит вполне обычное, совершенно настоящее уведомление от сервиса GetShared, в котором говорится, что пользователю был прислан файл. В письме указаны название и расширение этого файла — например, в случае с атакой на компанию нашего коллеги это был DESIGN LOGO.rar.
      Пример мошеннического письма, распространяемого через уведомление GetShared
      В сопровождающем тексте применяется стандартная фишинговая уловка — мошенники запрашивают цены на что-то, якобы перечисленное в приложении, а для большей убедительности просят уточнить время доставки и условия оплаты.
       
      View the full article
    • KL FC Bot
      Срочно обновите PyTorch | Блог Касперского
      Автор KL FC Bot
      Исследователь обнаружил уязвимость в PyTorch, фреймворке машинного обучения с открытым исходным кодом. Уязвимость, зарегистрированная под номером CVE-2025-32434, относится к классу Remote Code Execution (RCE) и имеет рейтинг 9,3 по шкале CVSS, то есть категорируется как критическая. Эксплуатация CVE-2025-32434 при определенных условиях позволяет злоумышленнику запускать на компьютере жертвы, скачивающей ИИ-модель произвольный код. Всем, кто использует PyTorch для работы с нейросетями, рекомендуется как можно скорее обновить фреймворк до последней версии.
      Суть уязвимости CVE-2025-32434
      Фреймворк PyTorch, помимо всего прочего, позволяет сохранять уже обученные модели в файл, который хранит веса связей. И, разумеется, загружать их при помощи функции torch.load(). Обученные модели часто выкладываются в общий доступ через разнообразные публичные репозитории и теоретически в них могут быть вредоносные закладки. Поэтому официальная документация проекта в целях безопасности рекомендует использовать функцию torch.load() с параметром weights_only=True (в таком случае загружаются только примитивные типы данных: словари, тензоры, списки, и так далее).
      Уязвимость CVE-2025-32434 заключается в некорректно реализованном механизме десериализации при загрузке модели. Обнаруживший ее исследователь продемонстрировал, что атакующий может создать файл модели таким способом, что параметр weights_only=True приведет к прямо противоположному эффекту — при загрузке будет выполнен произвольный код, способный скомпрометировать среду, в котором запускается модель.
       
      View the full article
    • KL FC Bot
      Новый стилер Arcane распространяется под видом читов для Minecraft | Блог Касперского
      Автор KL FC Bot
      В конце 2024 года наши эксперты обнаружили новый стилер Arcane — он умеет собирать множество различных данных с зараженного устройства. Злоумышленники пошли дальше и выпустили загрузчик ArcanaLoader, который якобы скачивает читы, кряки и прочие «полезности» для геймеров, а на деле заражает устройство стилером Arcane. Кажется, что с креативом у них все очень плохо, но это касается только названий. Схема распространения трояна и сама идея довольно-таки оригинальны.
      Надеемся, вы уже знаете, что не нужно скачивать все подряд из ссылок под видео на YouTube? Еще нет? Тогда читайте эту историю.
      Как распространяют стилер Arcane
      Вредоносная кампания, в которой мы обнаружили стилер Arcane, была активна еще до его появления на свет. Проще говоря: сначала злоумышленники распространяли другие вредоносы, а потом заменили их на Arcane.
      Как выглядела схема. Ссылки на запароленный архив с вредоносным содержимым располагались под YouTube-роликами с рекламой читов для игр. В архиве всегда был вовсе не подозрительный BATCH-файл start.bat. Функциональность его сводилась к запуску PowerShell для скачивания еще одного запароленного архива, внутри которого лежали два исполняемых файла: майнер и стилер VGS. Вот им-то на смену и пришел Arcane. Новый стилер сначала продвигали точно так же: ролик, первый вредоносный архив, затем второй — и троян на устройстве жертвы.
      Спустя несколько месяцев злоумышленники усовершенствовали схему и к видео на YouTube стали прикладывать ссылку на ArcanaLoader — загрузчик с графическим интерфейсом, нужный якобы для скачивания и запуска читов, кряков и прочего подобного ПО. На самом деле ArcanaLoader заражал устройство стилером Arcane.
      Внутри клиента — куча вариантов читов для Minecraft
       
      View the full article
    • KL FC Bot
      Злоумышленники распространяют трояны под видом клиентов DeepSeek и Grok для Windows | Блог Касперского
      Автор KL FC Bot
      В начале 2025 года китайский чат-бот DeepSeek взорвал инфополе. Новинку обсуждали, кажется, повсюду: сравнивали логотип с нашим, искали сходства с ChatGPT, а в Италии, Южной Корее, Австралии и других странах и вовсе заблокировали доступ к DeepSeek. Ажиотаж был и остается на высочайшем уровне, в том числе и со стороны злоумышленников.
      Мы обнаружили несколько групп сайтов, копирующих официальный сайт чат-бота и распространяющих вредоносный код под видом якобы легитимного клиента. Как именно действуют кибернегодяи и как работать с ИИ безопасно — читайте в этом материале.
      Вредоносные скрипты и геофенсинг
      Было зафиксировано несколько схем распространения зловреда, которые имели кое-что общее — во всех случаях использовались поддельные сайты DeepSeek. А разница в том, как и что распространяли злоумышленники через эти сайты. В этой публикации мы подробно расскажем об одной из схем, о других вы можете прочитать в полной версии исследования на Securelist.
      О чем вы подумаете, если окажетесь на сайтах с доменами deepseek-pc-ai[.]com и deepseek-ai-soft[.]com? Вероятнее всего, предположите, что там можно найти какой-то софт, связанный с новинкой в мире ИИ. А какой там может быть софт? Конечно же, клиент DeepSeek! И впрямь, при посещении этих сайтов можно заметить большую кнопку Download («Загрузить») и чуть менее яркую Start Now («Начать сейчас»).
      Страница фейкового сайта DeepSeek
       
      View the full article
×
×
  • Создать...