Троян JobStealer крадет данные криптокошельков через фейковые приложения для собеседований

Специалисты «Доктор Веб» зафиксировали активность вредоносного программного обеспечения под названием JobStealer. Троян ориентирован на кражу конфиденциальных данных пользователей ОС Windows и macOS, при этом основной интерес злоумышленников сосредоточен на содержимом криптовалютных кошельков.

Схема социальной инженерии

Механика проникновения трояна строится на методах социальной инженерии, где ключевым этапом становится имитация процесса найма. Злоумышленники выходят на контакт с потенциальными жертвами, предлагая вакансии и приглашая на онлайн-собеседование. В ходе переписки пользователю направляется ссылка на специально созданный ресурс, якобы предназначенный для проведения видеоконференции.Проще говоря, жертву убеждают в необходимости установки стороннего ПО для обеспечения связи с «рекрутером». На практике это приводит к загрузке исполняемого файла, который под видом легитимного приложения для видеовстреч устанавливает в систему самого трояна.

Маскировка и инфраструктура

Киберпреступники уделяют значительное внимание легитимизации своей деятельности. Для повышения доверия к вредоносным сайтам они создают сопутствующую инфраструктуру: Telegram-каналы и аккаунты в социальных сетях, в частности в X. Сами домены оформлены достаточно профессионально, чтобы не вызывать подозрений у рядового пользователя.Злоумышленники регулярно меняют названия вредоносных программ, чтобы затруднить их обнаружение антивирусными средствами. Среди уже выявленных наименований фигурируют MeetLab, Juseo, Meetix и Carolla. В некоторых случаях киберпреступники прибегают к прямому имитированию известных корпоративных сервисов, например, используют брендинг Webex для маскировки своей вредоносной активности.