Новая вредоносная программа ComboJack крадёт Bitcoin, Litecoin, Monero и Ethereum путём замены адреса назначения криптовалютной транзакции на адрес кошелька злоумышленника, меняя данные в буфере обмена.
Его мишенями становятся люди, которые не проверяют адреса назначения транзакций перед их окончательным утверждением. Интересно, что ComboJack предназначена в том числе и для «некриптовалютных» цифровых платёжных систем, включая WebMoney и Яндекс.Деньги.
Исследователи по проблемам кибербезопасности из Palo Alto Networks обнаружили эту вредоносную программу при наблюдении за фишинговой e-mail-кампанией, направленной на американских и японских пользователей. То, что злоумышленники до сих пор усиленно используют спам для распространения вредоносных программ, подтверждает, что они успешно воруют криптовалюты у безалаберных и доверчивых пользователей.
В шаблонах спамовых писем нет обращения к потенциальным жертвам по имени, но есть утверждение о том, что «в моём офисе [кто-то] забыл паспорт», просьба открыть «отсканированный документ» и «проверить, не знаете ли вы владельца».
Жертву подстрекают на открытие прикреплённого файла. В результате этого запускается встроенный RTF-файл с эксплойтом CVE-2017-8759, который позволяет злоумышленникам вводить код и запускать команды PowerShell, используемые для загрузки и выполнения ComboJack.
Исследователи отмечают, что методы распространения вредоносных писем и программ аналогичны тем, которые использовались в ходе кампаний по распространению вирусов-вымогателей Dridex Trojan и Locky в 2017 году. Они оказались довольно успешными, несмотря на простую тактику.
Внимание Обнаружен новый вирус ComboJack ворующий криптовалюту при транзакциях
После установки на компьютере ComboJack использует встроенный инструмент Windows attrib.exe, который позволяет ему скрываться от пользователя и выполнять процессы с высокими привилегиями.
С этого момента ComboJack входит в рабочий цикл, при котором он анализирует содержимое буфера обмена через каждые полсекунды, чтобы проверить, не скопировал ли человек информацию с адресом кошелька криптовалют:
- Bitcoin,
- Litecoin,
- Monero,
- Ethereum.
Если ComboJack обнаружит адрес кошелька, он заменит его на другой, который принадлежит злоумышленникам. Положение усугубляется тем, что у многих пользователей нет привычки проверять адрес, куда должны быть отправлены средства.
Исследователи из Palo Alto Networks пишут в отчете:
Тактика основана на том, что адреса кошельков, как правило, длинные и сложные для запоминания. Большинство пользователей предпочитают копировать такую строку в буфер обмена, чтобы предотвратить возможные ошибки.
У ComboJack есть сходства с ранее обнаруженной формой вредоносного программного обеспечения CryptoShuffler, хотя нет прямых доказательств того, что они так или иначе связаны. В Palo Alto Networks также говорят, что пока нет каких-либо предположений о том, кто стоит за ComboJack.
Поскольку ComboJack полагается на использование уязвимости, которая была исправлена ??компанией Microsoft в сентябре 2017 года, один из возможных способов защиты от вредоносной программы — обновление операционной системы.
Следует также остерегаться неожиданных писем и странных вложений, особенно если такое сообщение не адресовано вам напрямую.
Новости криптовалютного рынка и майнинга:Уголовная ответственность за операции с криптой в РФ на сумму более 600 000 руб.Децентрализованная критобиржа EOSfinex, площадка на блокчейне EOS от BitfinexКоличество биткоин-кошельков увеличилось на 6,9% всего за одну неделю11 лучших документальных фильмов о криптовалюте Bitcoin, приятного просмотра!ТОП-10 новостей мира криптовалюты и блокчейна, за неделю с 15 по 21 октября
Безопасность и уязвимости
