АИ-95 с вредоносной присадкой

В середине июня команда киберразведки экспертного центра безопасности Positive Technologies обнаружила сразу несколько ресурсов, использующих «топливную» тему для вредоносных целей.
В рамках первой кампании производится угон Telegram‑аккаунтов. От имени крупной нефтегазовой организации, предоставляющей услуги по продаже топлива физическим лицам, предлагается «забронировать» время для покупки топлива без очередей. В процессе бронирования злоумышленники просят предоставить код подтверждения, который на деле является кодом двухфакторной аутентификации от Telegram‑аккаунта. Отметим, что исходный код ресурсов изобилует комментариями, характерными для кода, сгенерированного большими языковыми моделями.
Вторая кампания заманивает «актуальными» данными о доступности топлива, предлагая скачать APK‑файл. На вредоносном сайте отображается карта со сведениями о наличии топлива на разных заправках по всей стране. Статус заправки на карте при этом определяется детерминированным алгоритмом на основании ее координат:
const deterministicStatus = (station) => { const base = Number(station.id ?? station.lat * 1000 + station.lon * 1000); const pseudo = Math.abs(Math.sin(base)) % 1; if (pseudo < 0.58) return 'green'; if (pseudo < 0.85) return 'yellow'; return 'red'; };
Под капотом приложения — инфостилер, среди функций которого сбор с устройства фотографий и текущей геопозиции с последующей отправкой в S3-хранилища, что впоследствии может использоваться для шантажа жертвы и иных целей.
Рекомендации
• Не сообщайте третьим лицам и не вводите на сторонних ресурсах никакие коды, приходящие на ваши устройства.
• Не устанавливайте незнакомые мобильные приложения, а если очень хочется — хотя бы предварительно используйте анализ через песочницу (например, в PT Sandbox 😉).
• Относитесь критически к любому ресурсу, обнаруженному в интернете, особенно если он эксплуатирует «горячую» тему.
• Покупайте электричку.
Индикаторы компрометации
ru‑lukoil.online
tes‑td.site
voentoplivo.site
gdebenzin.org
sverdlova.online
mobilecash.club
https://s3.eu‑central-003.backblazeb2.com/centbrinben/benzin/
https://storage.tacticlib.com/uploads/benzin/
b192114cc04b872095015bcb0d7f708c34680eafbd43ff5393df791ea0dc04e9 140ecec54f6249370cec2f6dc0e5f485af359295bb27f6f458c5b3cf30260e3e
462611f6f8e65229e8b729038438785d447bc4da386a74fafae095b65578525c 51e18c21203e930ab3ca13327dc7d67a404e597fcf3a99f8901fdbfb169da63c
81a623c9a3b3f4a9340dd4c6bdfb5299f247b54f81ae1d39671afcf24229859a f4102ea1718653528c503dcaaef3a2ea05ddaf6ad782e84ee7d7b2e6b073ffae
15174043fc56ca9fd8c47d2bfc0e0a2f491a17a8805afcc5eb58b8252677ef69
(Источник: https://t.me/ptescalator)















