Исследователи назвали вредоносную программу HackBoss и говорят, что ее операторы, вероятно, украли более 500000 долларов у хакеров, которые попались на уловку. Хотя в HackBoss нет ничего изощренного, эта схема оказывается эффективной, поскольку соблазняет жертв возможностью получить инструменты взлома, в основном для подбора паролей для банковских счетов, знакомств и учетных записей социальных сетей.

Исследователи Avast, анализирующие HackBoss, отмечают, что вредоносная программа упакована в файл .ZIP с исполняемым файлом, запускающим простой пользовательский интерфейс.

Независимо от доступных опций, единственная цель пользовательского интерфейса - добавить расшифровку и запустить вредоносное ПО для кражи криптовалюты в системе жертвы.

Это происходит при нажатии любой кнопки в поддельном интерфейсе. Действие также может обеспечить постоянное присутствие HackBoss в системе, настроив раздел реестра для его запуска при запуске или добавив запланированное задание, которое запускает полезную нагрузку каждую минуту.

«Вредоносная полезная нагрузка продолжает работать на компьютере жертвы даже после закрытия пользовательского интерфейса приложения. Если вредоносный процесс завершен - например, с помощью диспетчера задач - он может снова запуститься при запуске или запланированной задаче в следующую минуту»- Avast.

Что касается функциональности, то здесь нет ничего сложного. Вредоносная программа предназначена для простой проверки буфера обмена на наличие кошелька с криптовалютой и замены его кошельком, принадлежащим злоумышленнику. Когда жертва инициирует платеж в криптовалюте и копирует кошелек получателя, HackBoss быстро заменяет его, пользуясь тем фактом, что немногие пользователи проверяют строку перед нажатием кнопки оплаты.

Несмотря на простые функции, поддержание прикрытия дистрибьютора хакерских инструментов требует определенных усилий, поскольку каждый пост сопровождается фальшивым описанием, чтобы сделать его правдоподобным предложением.

Но попытка оказалась прибыльной. Исследователи Avast сообщают сегодня в блоге, что они обнаружили более 100 адресов криптовалютных кошельков, связанных с операцией HackBoss, на которую с ноября 2018 года было получено более 560000 долларов.

Не все средства поступили от вредоносного ПО для кражи криптовалюты, поскольку некоторые адреса были зарегистрированы в мошеннических целях, которые заставляли жертв покупать поддельное программное обеспечение.

Данные службы Telemetrio для Telegram и статистика чата показывают, что на канале Hack Boss ежемесячно публикуется около девяти сообщений, каждое с более чем 1300 просмотров, и что число подписчиков выросло до 2800.

Исследователи Avast говорят, что авторы HackBoss также продвигают свои поддельные хакерские инструменты за пределами канала Telegram, хотя это остается основным путем распространения.

Одним из направлений является блог (cranhan.blogspot [.] Com), в котором рекламируются поддельные инструменты, предоставляются промо-видео, а также размещается реклама на публичных форумах и в обсуждениях.

Avast публикует длинный список компрометации на своей странице GitHub с хешами и названиями фальшивых приложений, маскирующих вредоносное ПО HackBoss, и адреса кошельков криптовалюты (Bitcoin, Ethereum, Litecoin, Monero, Dogecoin) связанных с ним.