Ориентированная на работающих с криптовалютами трейдеров фишинговая компания запущена в Сети. Киберпреступники распространяют рекламу бота Gunbot, предназначенного для торговли на бирже. На самом деле реклама является вредоносной и заражает компьютеры жертв трояном для удаленного доступа RAT Orcus.
Реклама рассылается в электронных письмах и предлагает установить легитимный бот Gunbot от GuntherLab (Gunthy). В письмо вложен zip-файл под названием «sourcode.vbs», содержащий простой VB-скрипт. После выполнения скрипт загружает файл, внешне похожий на JPEG-изображение, но на самом деле являющийся PE-файлом.
По данным экспертов по безопасности компании Fortinet, загружаемый исполняемый файл представляет собой троянизированную версию инструмента TTJ-Inventory System с открытым исходным кодом. Однако, судя по комментариям в скрипте, хакеры даже не пытаются скрыть свои намерения. Эксперты Fortinet предполагают, что они малоопытны и купили используемые в атаках компоненты где-то еще.
В последнее время курс биткоина бьет рекорды, поэтому торги на биржах криптовалют проходят крайне активно. Специальные боты, отслеживающие и сопоставляющие стоимость биткоина на различных платформах, пользуются у трейдеров большой популярностью.
