Россияне создали бесплатный и опасный «генератор QR-кодов» для тех, кто не хочет вакцинироваться

0
60

«Бесплатного сыра» не бывает

Российские хакеры начали распространение ПО, позиционирующегося как генератор QR-кодов о прохождении вакцинации. Как сообщили CNews представители компании «Доктор Веб», за ней скрывается хитро спрятанный троян, который, к тому же, подгружает еще два не менее опасных вредоноса.

Распространяется программа через наспех созданный сайт, на котором говорится, что каждый может получить на руки лишь один код, и что до 15 декабря 2021 г. эта услуга якобы полностью бесплатна, а после обойдется всего лишь в 150 руб. Инструкция по установке гласит, что от пользователя требуется лишь ввести свои персональные данные (ФИО и др.), после чего программа сгенерирует код, ведущий на поддельную страницу «Госуслуг» с информацией о подлинности этого самого кода.

Россияне создали бесплатный и опасный «генератор QR-кодов» для тех, кто не хочет вакцинироваться

Сайт, с которого осуществляется распространение генератора

Сам сайт имеет дизайн, актуальный на начало XXI века и содержит орфографические и пунктуационные ошибки. Есть и кнопка «Скачать», ведущая на файлообменник Mega, ранее известный как MegaUpload, где и лежит дистрибутив псевдо-генератора QR-кодов.

Троян-матрешка

На файлообменнике, по утверждению специалистов «Доктор Веб», находится exe-файл, то есть исполняемый файл для ОС Windows. На вопрос CNews о доступности программы в версии под Android, macOS или Linux представители компании ответили, что «разработчик» не потрудился сделать свой троян пригодным для запуска где-либо за пределами Windows.

Кто именно разрабатывал программу, остается неизвестным. По мнению экспертов «Доктор Веб», большого багажа знаний в программировании и в ИТ в целом у автора нет. «Человек, похоже, без особых навыков или ресурсов — для создания сайта использовался конструктор сайтов platformalp, для хранения сэмплов бесплатные сервисы Mega, Discord и GitHub», – сообщили они CNews.

Сам по себе файл содержит в себе троян, без ведома пользователя ворующий все его пароли, в том числе и к учетным записям в различных сервисах. Это и социальные сети, и интернет-магазины, и даже интернет-банки, что создает угрозу утечки не только персональных данных, но и денег. В «Доктор Веб» уточнили CNews, что программа также крадет cookie-файлы и данные платежных карт из браузеров и буфера обмена.

Россияне создали бесплатный и опасный «генератор QR-кодов» для тех, кто не хочет вакцинироваться

Такой поддельный сертификат якобы получит запустивший генератор пользователь. Адрес сайта госуслуг указан с ошибками

Помимо своей основной функции утилита в фоновом режиме подгружает два дополнительных трояна, первый из которых превращает компьютер пользователя в устройство для майнинга криптовалюты. Это сразу повышает нагрузку на основные компоненты ПК, что может ускорить их выход из строя, в том числе из-за перегрева. При этом вся полученная криптовалюта осядет в кошельке хакера – сам пользователь может даже не узнать, что его ПК использовался кем-то для майнинга.

Второй троян, так называемый «клиппер», подменяет скопированные пользователем адреса криптовалютных кошельков и платежных систем на заранее указанные хакером. Например, если пользователь, чей ПК заражен клиппером, хочет отправить деньги на чей-либо криптокошелек и копирует адрес этого кошелька в буфер обмена, то троян увидит это подменит скопированный адрес на указанный мошенником. Транзакция состоится, вот только деньги получит вовсе не требуемый адресат, а тот, кто подсадил на компьютер трояна.

Пока неясно, есть ли в двух дополнительных троянах аналогичная функция скачивания других вредоносов. Если таковая имеется, то ПК пользователя, пожелавшего сгенерировать QR-код вакцинированного, может превратиться в рассадник сомнительного ПО. Если среди таких программ окажется шифровальщик, то пользователь может лишиться всей своей информации.

10 простых шагов: Как обеспечить безопасность КИИ Инфраструктура

Россияне создали бесплатный и опасный «генератор QR-кодов» для тех, кто не хочет вакцинироваться

При всем вышеперечисленном основная функция программы, заявленная разработчиками, не работает. Как сообщили CNews представители «Доктор Веб», у нее даже нет интерфейса, пользователю попросту не с чем взаимодействовать. Другими словами, скачав псевдо-генератор, пользователь не получит заветный «ключ», открывающий перед ним двери кинотеатров, магазинов и других общественных мест, в том числе и городского транспорта.

Очень популярная услуга

На фоне многочисленных ограничений, с которыми сталкиваются россияне, по тем или иным причинам еще не получившие QR-код, в Сети стало появляться все больше сайтов и программ, предлагающих оформить этот код без особого труда. В подавляющем большинстве случаев за такими сервисами стоят мошенники, желающие поживиться персональными данными и деньгами доверчивых россиян.

QR-коды как меры противодействия распространению коронавируса в России начали широко использоваться весной 2021 г. Тогда же Рунет и захлестнула волна поддельных сервисов по их предоставлению и не менее недостоверных копий сайта госуслуг.

Россияне создали бесплатный и опасный «генератор QR-кодов» для тех, кто не хочет вакцинироваться

Одна из причин популярности среди россиян услуг по подделке QR-кодов

И чем дальше, тем этих волн становилось больше. Так, в конце октября 2021 г., когда появилась информация о возможном очередном локдауне, всего за три дня в российском сегменте интернета появилось 48 клонов сайта «Госуслуг».

По данным «Коммерсанта», в «обычные» дни, когда нет угрозы очередной самоизоляции, в день появляется не более двух таких ресурсов. На такие сайты ведут фальшивые QR-коды о вакцинации и прохождении ПЦР-теста. Точное число ныне активных копий «Госуслуг» не установлено. Согласно статистике Минцифры, ежемесячно в блокировку попадают 100-200 таких ресурсов.

«Такие домены злоумышленники могут использовать для продажи фальшивых QR-кодов или же фишинга – доступа к персональным данным пользователя или же заражения его устройства вирусом», – сообщил «Коммерсанту» ведущий аналитик Infosecurity a Softline Company Александр Вураско. С его слов, всплеск роста числа поддельных сайтов госуслуг напрямую связан с ростом спроса на поддельные справки о вакцинации, особенно в период локдаунов.