“Письма счастья” и прочие неприятности
Новая вредоносная программа ComboJack заменяет в кошельках адрес получателя на адрес злоумышленников и отправленные средства уходят на чужой счёт. Страдают от него в первую очередь те пользователи, которые не проверяют адрес перед подтверждением транзакции.
Причём спектр криптовалют широк. Он ворует биткоины, лайткоины, эфир и монеро. Но программа опасна не только для пользователей криптовалюты. Под угрозой пользователи сервисов WebMoney и Яндекс.Деньги.
Исследователи по проблемам кибербезопасности из Palo Alto Networks обнаружили эту вредоносную программу при наблюдении за фишинговой e-mail-кампанией, направленной на американских и японских пользователей.
Хакеры по-прежнему используют рассылку спамовых e-mail-писем с зараженным файлом. Любой неопытный или невнимательный пользователь может попасться на удочку. И что самое важное – попадаются. Пользователя провоцируют открыть прикрепленный файл, который и несёт в себе угрозу.
В результате этого запускается встроенный RTF-файл с эксплойтом CVE-2017-8759, который позволяет злоумышленникам вводить код и запускать команды PowerShell, используемые для загрузки и выполнения ComboJack.
Исследователи отмечают, что методы распространения вредоносных писем и программ аналогичны тем, которые использовались в ходе кампаний по распространению вирусов-вымогателей Dridex Trojan и Locky в 2017 году.
Они оказались довольно успешными, несмотря на простую тактику.
После установки на компьютере ComboJack использует встроенный инструмент Windows attrib.exe, который позволяет ему скрываться от пользователя и выполнять процессы с высокими привилегиями.
С этого момента ComboJack входит в рабочий цикл, при котором он анализирует содержимое буфера обмена через каждые полсекунды, чтобы проверить, не скопировал ли человек информацию о кошельке и криптовалютах.
Если ComboJack обнаружит адрес кошелька, он заменит его на другой, который принадлежит злоумышленникам. Положение усугубляется тем, что у многих пользователей нет привычки проверять адрес, куда должны быть отправлены средства.
“Тактика основана на том, что адреса кошельков, как правило, длинные и сложные для запоминания. Большинство пользователей предпочитают копировать такую строку в буфер обмена, чтобы предотвратить возможные ошибки”.
Схема старая, а потому существует способ защиты от неё. Данная уязвимость уже была исправлена Windows в сентябре 2017 года. Всё, что необходимо, это регулярно обновлять систему. Или, как минимум, установить обновление системы безопасности и защиту от вредоносных программ от сентября 2017 года. Да и с письмами нужно быть аккуратнее, если они адресованы не вам лично.