Специалистам компании Group-IB удалось пресечь деятельность мошенников, которые с помощью вредоносного ПО блокировали страницы пользователей в социальных сетях, вымогали деньги за восстановление доступа, параллельно воруя конфиденциальные данные. В настоящий момент ресурс, с «говорящим названием» — lomaem24.ru, заблокирован американским регистратором Publicdomainregistry.com. Блокировка ресурса была осуществлена после проведенной экспертизы и подачи заявки CERT-GIB.
Сама схема распространения вредоносного ПО выглядела следующим образом. Заражение компьютера пользователя вирусом InstallMonster происходило после посещения ресурса lomaem24.ru. После попадания на компьютер пользователя программа изменяла записи в файле «hosts». В результате заражения, при переходе на страницы социальных медиа, пользователь видел поддельную страницу, требующую оплаты за восстановление доступа к странице. Помимо этого страница содержала поля ввода данных, для последующей кражи аккаунта.
Стоит отметить, что заявка на проверку подозрительного ресурса была получена через форму обратной связи на сайте некоммерческого проекта CERT-GIB, — Antiphishing.ru. Проект представляет собой электронную форму для принятия сообщений о подозрительных ресурсах, созданных для целенаправленных атак на пользователей сети Интернет. Специалисты компании призвали граждан оставаться бдительными и сообщать о появлении новых мошеннических схемах на просторах сети.
