Внимание! Обнаружен новый вирус ворующий криптовалюту при транзакциях

Внимание! Обнаружен новый вирус ворующий криптовалюту при транзакциях

Новая вредоносная программа ComboJack крадёт Bitcoin, Litecoin, Monero и Ethereum путём замены адреса назначения криптовалютной транзакции на адрес кошелька злоумышленника, меняя данные в буфере обмена. Его мишенями становятся люди, которые не проверяют адреса назначения транзакций перед их окончательным утверждением. Интересно, что ComboJack предназначена в том числе и для «некриптовалютных» цифровых платёжных систем, включая WebMoney и Яндекс.Деньги.

Исследователи по проблемам кибербезопасности из Palo Alto Networks обнаружили эту вредоносную программу при наблюдении за фишинговой e-mail-кампанией, направленной на американских и японских пользователей. То, что злоумышленники до сих пор усиленно используют спам для распространения вредоносных программ, подтверждает, что они успешно воруют криптовалюты у безалаберных и доверчивых пользователей. В шаблонах спамовых писем нет обращения к потенциальным жертвам по имени, но есть утверждение о том, что «в моём офисе [кто-то] забыл паспорт», просьба открыть «отсканированный документ» и «проверить, не знаете ли вы владельца».

Жертву подстрекают на открытие прикреплённого файла. В результате этого запускается встроенный RTF-файл с эксплойтом CVE-2017-8759, который позволяет злоумышленникам вводить код и запускать команды PowerShell, используемые для загрузки и выполнения ComboJack. Исследователи отмечают, что методы распространения вредоносных писем и программ аналогичны тем, которые использовались в ходе кампаний по распространению вирусов-вымогателей Dridex Trojan и Locky в 2017 году. Они оказались довольно успешными, несмотря на простую тактику.
После установки на компьютере ComboJack использует встроенный инструмент Windows attrib.exe, который позволяет ему скрываться от пользователя и выполнять процессы с высокими привилегиями. С этого момента ComboJack входит в рабочий цикл, при котором он анализирует содержимое буфера обмена через каждые полсекунды, чтобы проверить, не скопировал ли человек информацию с адресом кошелька криптовалют: Bitcoin, Litecoin, Monero, Ethereum. Если ComboJack обнаружит адрес кошелька, он заменит его на другой, который принадлежит злоумышленникам. Положение усугубляется тем, что у многих пользователей нет привычки проверять адрес, куда должны быть отправлены средства. Исследователи из Palo Alto Networks пишут в отчете: Тактика основана на том, что адреса кошельков, как правило, длинные и сложные для запоминания. Большинство пользователей предпочитают копировать такую строку в буфер обмена, чтобы предотвратить возможные ошибки.
У ComboJack есть сходства с ранее обнаруженной формой вредоносного программного обеспечения CryptoShuffler, хотя нет прямых доказательств того, что они так или иначе связаны. В Palo Alto Networks также говорят, что пока нет каких-либо предположений о том, кто стоит за ComboJack. Поскольку ComboJack полагается на использование уязвимости, которая была исправлена ​​компанией Microsoft в сентябре 2017 года, один из возможных способов защиты от вредоносной программы — обновление операционной системы. Следует также остерегаться неожиданных писем и странных вложений, особенно если такое сообщение не адресовано вам напрямую.

Источник: https://mining-cryptocurrency.ru